https(安全http)和ssl/tls(安全套接層/傳輸層安全)協議是web安全和可信電子商務的核心,但web應用安全專家robert "rsnake" hansen和josh sokol在昨天的黑帽大會上宣布,web瀏覽器的基礎架構中存在24個危險程度不同的安全漏洞。這些漏洞基本上使https和ssl能夠提供的瀏覽器保護蕩然無存。
https對http協議進行了加密,以保護使用者的頁面請求和web伺服器返回的頁面不被竊聽。ssl及後來的tls協議允許https利用公鑰加密驗證web客戶端和伺服器。
hansen和sokol指出,攻擊者要利用這些漏洞,首先需要發起中間人攻擊。攻擊者一旦劫持了瀏覽器會話,就可以利用這些漏洞中的大多數對會話進行重定向,從而竊取使用者憑據或者從遠端秘密執行**。
然而,兩位研究人員強調,中間人攻擊並不是攻擊者的終極目的。
hansen指出,「利用中間人攻擊,攻擊者還可以實現許多更加容易的攻擊。你不得不『執行』中間人攻擊,並被迫成為乙個十分堅定的攻擊者......然而,這還不是最壞的情況。對於電子商務應用來說,這些攻擊簡直是毀滅性的災難。」
實際上,hansen懷疑https和ssl/tls中可能有數百個安全問題有待發現。他說,由於要準備這次黑帽大會的演講,他們還沒來得及對此進行深入研究。
中間人攻擊並不是什麼新技術。由於各種原因,攻擊者可以設法在乙個瀏覽器會話過程中的多個時刻加入會話。一些攻擊者能夠使用包括md5衝突在內的各種方法偽造或竊取ssl證書。由於在會話到達認證協商的加密埠之前,ssl協議是採用明文傳輸dns和http請求的,所以攻擊者還可以在這些步驟中的任一時刻劫持會話。另外,攻擊者還能夠利用中間人攻擊修改https鏈結,將使用者重定向到惡意http**。
對任何攻擊者來說,重複hansen和sokol所說的工作並不容易,它需要耐心和資源。兩位專家強調,中間人攻擊得逞之後,攻擊者可能發動兩種高度危險的攻擊。
第一種是cookie篡改(cookie poisoning)攻擊,即攻擊者利用瀏覽器在使用者會話期間不更改cookie的情況,將同乙個cookie反覆標記為有效狀態。如果攻擊者能夠提前劫持來自**的cookie,然後再將其植入使用者的瀏覽器中,則當使用者的認證資訊到達https站點時,攻擊者就能夠獲得使用者憑據並以使用者身份登入。
hansen和sokol解釋說,利用針對ssl web瀏覽器會話的攻擊,攻擊者可以觀察和計算使用者在乙個**的特定頁面上停留的時間。這可能會洩漏處理資料的頁面。此時,攻擊者可以在該網頁上採用相關技術強迫使用者退出登入並重新進行身份認證,從而獲得使用者憑據。
hansen指出,「有必要對ssl進行修改,比如新增填充和抖動**」。他解釋說,通過在web請求中新增無意義的編碼,可以延長攻擊者完成攻擊的時間,也許足以阻止攻擊者採取進一步的行動。他說,「要避免此類攻擊,必須採取適當的選項卡隔離和沙箱技術。安全專家也許能夠避免此類情況的發生,但普通使用者卻不得不面臨這種威脅。我們真的很難阻止這種攻擊,我不知道有沒有簡單的辦法可以解決這個問題。」
SSL協議 HTTPS協議
ssl secure socket layer安全套接層 tls transport layer security傳輸層安全,是被標準化的ssl pki 公鑰基礎設施 pki提供電子簽名證書,伺服器購買證書 網路伺服器通過證書被認證,客戶端則不需要認證。tls的三個階段 1.協商金鑰演算法 2.通過...
《轉》SSL和Https協議
把這幾天學習到的關於ssl和https協議的內容在這裡分享一下,適合一些像我一樣的網路協議初學者。ssl協議的起源和歷史我就不再多說了,就是那個netscape 網景公司開發的,它的作用主要是提供了一種安全傳輸方式,我們知道網上有很多的時候需要我們去輸入使用者名稱和密碼,那麼假設我們自己的電腦防病毒...
白帽SEO和黑帽SEO
不過,正如人不能簡單地以非好即壞評判一樣,這樣的非黑即白 非白即黑事實上也不能準確概括seo市場的實際情況,畢竟中間存在著很多過渡色。站在黑帽seo的立場上,這種放長線掉大魚的策略,即使很正確,有的人也不願意這麼做。認真建設乙個 有的時候是一件很無聊的事。你要寫內容,要做調查,要做分析流量,要分析使...