廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1713 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
安全研究人員在黑帽安全大會上演示SSL攻擊
安全研究人員在黑帽安全大會上演示SSL攻擊

Moxie Marlinspike在周三的黑帽安全大會上解釋了如何通過中間人攻擊來破壞SSL層會話。該研究員通過Youtube視頻解釋該攻擊使用了名爲 SSLstrip的工具,可以利用http和https會話之間的接口,並演示了通過劫持安全套接字協議層(SSL)會話來截獲注冊數據的方法。   

Marlinspike在視頻中解釋道:“SSLstrip可以通過中間人(man-in-the-middles )的方式攻擊網絡裏所有的潛在SSL連接,特別是http和https之間的接口。”   

SSL和它的繼任者Transport Layer Security(傳輸層安全)是用於TCP/IP網絡加密通信上的加密協議,SSL和TLS通常被銀行和其他組織用於安全頁面傳輸。   

該攻擊主要依賴於用戶在浏覽器中輸入URL卻沒有直接激活SSL會話,而大部分用戶激活(SSL)會話都是通過點擊提示的按鈕。這些按鈕一般出現在未加密的Http頁面上,一旦點擊他們將把用戶帶入加密的Https頁面進行登錄。   

“這爲截獲信息的方式提供了多種途徑”,他在黑帽大會上如是說,他還聲稱自己在24小時內已經截獲了117個email帳戶,7個Paypal注冊資料,16張信用卡號碼的詳細信息。   

SSLstrip通過監視Http傳輸進行工作,當用戶試圖進入加密的https會話時它充當代理作用。當用戶認爲安全的會話已經開始事,SSLstrip也通過https連接到安全服務器,所有用戶到SSLstrip的連接是http,這就意味著浏覽器上“毀滅性的警告”提示已經被阻止,浏覽器看起來正常工作,在此期間所有的注冊信息都可以輕易被截獲。   

Marlinspike稱,它還可以在浏覽器地址欄中顯示https的安全鎖logo,使得用戶更加相信自己訪問的安全性。   

SSL一直被普遍認爲足夠安全,但部分安全研究人員曾經聲稱SSL通信可以被攔截。在去年8月,研究員Mike Perry稱,他正在和Google就一個自己即將公布的攻擊漏洞進行討論,該漏洞將允許黑客通過WiFi網絡,來截獲安全站點的用戶通信。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2009-02-26 04:12 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052855 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言