• 研究人员在黑帽安全大会演示SSL攻击 狼人:


    一安全研究人员演示了通过劫持安全套接字协议层(SSL)会话来截获注册数据的方法。

    Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具,可以利用http和https会话之间的接口。

    Marlinspike在视频中解释道:“SSLstrip可以通过中间人(man-in-the-middles )的方式攻击网络里所有的潜在SSL连接,特别是http和https之间的接口。”

    SSL和它的继任者Transport Layer Security(传输层安全)是用于TCP/IP网络加密通信上的加密协议,SSL和TLS通常被银行和其他组织用于安全页面传输。

    该攻击主要依赖于用户在浏览器中输入URL却没有直接激活SSL会话,而大部分用户激活(SSL)会话都是通过点击提示的按钮。这些按钮一般出现在未加密的Http页面上,一旦点击他们将把用户带入加密的Https页面进行登录。

    “这为截获信息的方式提供了多种途径”,他在黑帽大会上如是说,他还声称自己在24小时内已经截获了117个email帐户,7个Paypal注册资料,16张信用卡号码的详细信息。

    SSLstrip通过监视Http传输进行工作,当用户试图进入加密的https会话时它充当代理作用。当用户认为安全的会话已经开始事,SSLstrip也通过https连接到安全服务器,所有用户到SSLstrip的连接是http,这就意味着浏览器上“毁灭性的警告”提示已经被阻止,浏览器看起来正常工作,在此期间所有的注册信息都可以轻易被截获。

    Marlinspike称,它还可以在浏览器地址栏中显示https的安全锁logo,使得用户更加相信自己访问的安全性。

    SSL一直被普遍认为足够安全,但部分安全研究人员曾经声称SSL通信可以被拦截。在去年8月,研究员Mike Perry称,他正在和Google就一个自己即将公布的攻击漏洞进行讨论,该漏洞将允许黑客通过WiFi网络,来截获安全站点的用户通信。

  • 相关阅读:
    SegmentFault 巨献 1024 程序猿游戏「红岸的呼唤」第二天任务攻略
    POJ 2263 Heavy Cargo(ZOJ 1952)
    EEPlat 主子表和对象引用配置实例
    tornado websocket
    android android:duplicateParentState="true" "false"
    掌握4个有效的数据分析要点,切实解决用户痛点
    掌握4个有效的数据分析要点,切实解决用户痛点
    没有基础,如何成为数据分析师?
    没有基础,如何成为数据分析师?
    数据的无量纲化处理和标准化处理的区别是什么
  • 原文地址:https://www.cnblogs.com/waw/p/2202606.html
Copyright © 2020-2023  润新知