欢迎光临1分快3! 设为首页| 加入收藏
 
A1副本.jpg
您的位置:1分快3 > 教育

安全研究人员在黑帽安全大会上演示SSL攻击

2019/9/11 14:03:51     来源:南宫日报

一安全研究人员演示了通过劫持安全套接字协议层(SSL)会话来截获注册数据的方法。Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具,可以利用http和https会话之间的接口。

Marlinspike在视频中解释道:“SSLstrip可以通过中间人(man-in-the-middles )的方式攻击网络里所有的潜在SSL连接,特别是http和https之间的接口。”

SSL和它的继任者Transport Layer Security(传输层安全)是用于TCP/IP网络加密通信上的加密协议,SSL和TLS通常被银行和其他组织用于安全页面传输。

该攻击主要依赖于用户在浏览器中输入URL却没有直接激活SSL会话,而大部分用户激活(SSL)会话都是通过点击提示的按钮。这些按钮一般出现在未加密的Http页面上,一旦点击他们将把用户带入加密的Https页面进行登录。

“这为截获信息的方式提供了多种途径”,他在黑帽大会上如是说,他还声称自己在24小时内已经截获了117个email帐户,7个Paypal注册资料,16张信用卡号码的详细信息。

SSLstrip通过监视Http传输进行工作,当用户试图进入加密的https会话时它充当代理作用。当用户认为安全的会话已经开始事,SSLstrip也通过https连接到安全服务器,所有用户到SSLstrip的连接是http,这就意味着浏览器上“毁灭性的警告”提示已经被阻止,浏览器看起来正常工作,在此期间所有的注册信息都可以轻易被截获。

Marlinspike称,它还可以在浏览器地址栏中显示https的安全锁logo,使得用户更加相信自己访问的安全性。

SSL一直被普遍认为足够安全,但部分安全研究人员曾经声称SSL通信可以被拦截。在去年8月,研究员Mike Perry称,他正在和Google就一个自己即将公布的攻击漏洞进行讨论,该漏洞将允许黑客通过WiFi网络,来截获安全站点的用户通信。


相关阅读:
广东水性漆厂家 http://www.hjltbsxq.com
网站简介 | 版权声明 | 联系我们 | 广告服务 | 工作邮箱
1分快3刊载许可:国新办发函[2003]01号   广播电视节目制作经营许可证:(宁)字第056号
主管单位:南宫市委宣传部 主办单位:南宫日报社 
Copyright © 2003-2014 1分快3 All rights reserved