監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關閉

HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)

申請免費試用、咨詢電話:400-8352-114

鷹潭網站建設www.diyphp.net

HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協(xié)議是Web安全和可信電子商務的中心,但Web運用安全學者Robert "RSnake" Hansen和Josh Sokol在昨日的黑帽大會上宣告,Web瀏覽器的根底架構中存在24個風險程度不同的安全縫隙.這些縫隙基本上使HTTPS和SSL可以供給的瀏覽器保 護化為烏有. HTTPS對HTTP協(xié)議進行了加密,以維護用戶的頁面懇求和Web服務器回來的頁面不被偷聽.SSL及后來的TLS協(xié)議答應HTTPS運用公鑰加密驗證Web客戶端和服務器.

  Hansen和Sokol指出,進犯者要運用這些縫隙,首要需求建議中間人進犯.進犯者一旦綁架了瀏覽器會話,就可以運用這些縫隙中的大多數(shù)對會話進行重定向,然后盜取用戶憑證或許從長途隱秘履行代碼.

  但是,兩位研究人員著重,中間人進犯并不是進犯者的終極意圖.

  Hansen指出,“運用中間人進犯,進犯者還可以完結許多愈加簡略的進犯.你不得不'履行'中間人進犯,并被逼成為一個非常堅決的進犯者……但是,這還不是最壞的狀況.關于電子商務運用來說,這些進犯簡直是毀滅性的災禍.”

  實際上,Hansen置疑HTTPS和SSL/TLS中可以稀有百個安全問題有待發(fā)現(xiàn).他說,由于要預備這次黑帽大會的講演,他們還沒來得及對此進行深入研究.

  中間人進犯并不是什么新技能.由于各種緣由,進犯者可以設法在一個瀏覽器會話過程中的多個時辰參加會話.一些進犯者可以運用包羅MD5抵觸在內的各種方法 假造或盜取SSL證書.由于在會話抵達認證洽談的加密端口之前,SSL協(xié)議是選用明文傳輸DNS和HTTP懇求的,所以進犯者還可以在這些步調中的任一時 刻綁架會話.別的,進犯者還可以運用中間人進犯修正HTTPS鏈接,將用戶重定向到歹意HTTP網站.

  對任何進犯者來說,重復Hansen和Sokol所說的任務并不簡略,它需求耐性和資源.兩位學者著重,中間人進犯達到目的之后,進犯者可以發(fā)起兩種高度風險的進犯.

  第一種是cookie篡改(cookie poisoning)進犯,即進犯者運用瀏覽器在用戶會話工夫不更改cookie的狀況,將同一個cookie重復標記為有用狀況.若是進犯者可以提早劫 持來自網站的cookie,然后再將其植入用戶的瀏覽器中,則當用戶的認證信息抵達HTTPS站點時,進犯者就可以取得用戶憑證并以用戶身份登錄.

  第二種是重定向進犯.許多銀行網站會將用戶的會話從一個HTTP站點重定向到一個HTTPS站點,該會話通常是在另一個瀏覽器選項卡中翻開,而不是在一個 新的瀏覽器窗口中翻開.由于進犯者依然操控著舊的選項卡,所以進犯者可以在URL中注入Javascript腳本并修正新選項卡的舉動.受進犯者可以會下 載可履行文件,或許被重定向到一個歹意登錄頁面.

  Hansen和Sokol解說說,運用對準SSL Web瀏覽器會話的進犯,進犯者可以調查和核算用戶在一個網站的特定頁面上逗留的工夫.這可以會走漏處置數(shù)據(jù)的頁面.此刻,進犯者可以在該網頁上選用相關技能逼迫用戶退出登錄偏重新進行身份認證,然后取得用戶憑證.

  Hansen指出,“有必要對SSL進行修正,比方增加填充和顫動代碼”.他解說說,經過在Web懇求中增加無意義的編碼,可以延伸進犯者完結進犯的時 間,或許足以阻礙進犯者采納進一步的舉動.他說,“要防止此類進犯,必須采納恰當?shù)倪x項卡阻隔和沙箱技能.安全學者或許可以防止此類狀況的發(fā)作,但普通用 戶卻不得不面對這種要挾.咱們真的很難阻礙這種進犯,我不知道有沒有簡略的方法可以處理這個問題.”

發(fā)布:2007-03-31 14:58    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
鷹潭OA
聯(lián)系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普鷹潭網站建設公司其他應用

鷹潭軟件開發(fā)公司 鷹潭門禁系統(tǒng) 鷹潭物業(yè)管理軟件 鷹潭倉庫管理軟件 鷹潭餐飲管理軟件 鷹潭網站建設公司