zoukankan      html  css  js  c++  java
  • 研究人员在黑帽安全大会演示SSL攻击 狼人:

    一安全研究人员演示了通过劫持安全套接字协议层(SSL)会话来截获注册数据的方法。

    Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具,可以利用http和https会话之间的接口。

    Marlinspike在视频中解释道:“SSLstrip可以通过中间人(man-in-the-middles )的方式攻击网络里所有的潜在SSL连接,特别是http和https之间的接口。”

    SSL和它的继任者Transport Layer Security(传输层安全)是用于TCP/IP网络加密通信上的加密协议,SSL和TLS通常被银行和其他组织用于安全页面传输。

    该攻击主要依赖于用户在浏览器中输入URL却没有直接激活SSL会话,而大部分用户激活(SSL)会话都是通过点击提示的按钮。这些按钮一般出现在未加密的Http页面上,一旦点击他们将把用户带入加密的Https页面进行登录。

    “这为截获信息的方式提供了多种途径”,他在黑帽大会上如是说,他还声称自己在24小时内已经截获了117个email帐户,7个Paypal注册资料,16张信用卡号码的详细信息。

    SSLstrip通过监视Http传输进行工作,当用户试图进入加密的https会话时它充当代理作用。当用户认为安全的会话已经开始事,SSLstrip也通过https连接到安全服务器,所有用户到SSLstrip的连接是http,这就意味着浏览器上“毁灭性的警告”提示已经被阻止,浏览器看起来正常工作,在此期间所有的注册信息都可以轻易被截获。

    Marlinspike称,它还可以在浏览器地址栏中显示https的安全锁logo,使得用户更加相信自己访问的安全性。

    SSL一直被普遍认为足够安全,但部分安全研究人员曾经声称SSL通信可以被拦截。在去年8月,研究员Mike Perry称,他正在和Google就一个自己即将公布的攻击漏洞进行讨论,该漏洞将允许黑客通过WiFi网络,来截获安全站点的用户通信。

  • 相关阅读:
    Unity C# 反编译
    java finalize方法总结、GC执行finalize的过程
    Android性能调优篇之探索垃圾回收机制
    深入理解JVM(一)——JVM内存模型
    Android性能调优篇之探索JVM内存分配
    HashMap实现原理分析
    [干货]2017已来,最全面试总结——这些Android面试题你一定需要
    2017年最全的30个Android面试题,你将如何回答?
    Android2017进阶知识点、面试题及答案(精选版)
    Android2017最新面试题(3-5年经验个人面试经历)
  • 原文地址:https://www.cnblogs.com/waw/p/2202606.html
Copyright © 2011-2022 走看看