HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)

申請免費試用、咨詢電話：400-8352-114

HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協(xié)議是Web安全和可信電子商務(wù)的中心,但Web運用安全學(xué)者Robert "RSnake" Hansen和Josh Sokol在昨日的黑帽大會上宣告,Web瀏覽器的根底架構(gòu)中存在24個風(fēng)險程度不同的安全縫隙.這些縫隙基本上使HTTPS和SSL可以供給的瀏覽器保 護化為烏有. HTTPS對HTTP協(xié)議進行了加密,以維護用戶的頁面懇求和Web服務(wù)器回來的頁面不被偷聽.SSL及后來的TLS協(xié)議答應(yīng)HTTPS運用公鑰加密驗證Web客戶端和服務(wù)器.

　　Hansen和Sokol指出,進犯者要運用這些縫隙,首要需求建議中間人進犯.進犯者一旦綁架了瀏覽器會話,就可以運用這些縫隙中的大多數(shù)對會話進行重定向,然后盜取用戶憑證或許從長途隱秘履行代碼.

　　但是,兩位研究人員著重,中間人進犯并不是進犯者的終極意圖.

　　Hansen指出,“運用中間人進犯,進犯者還可以完結(jié)許多愈加簡略的進犯.你不得不'履行'中間人進犯,并被逼成為一個非常堅決的進犯者……但是,這還不是最壞的狀況.關(guān)于電子商務(wù)運用來說,這些進犯簡直是毀滅性的災(zāi)禍.”

　　實際上,Hansen置疑HTTPS和SSL/TLS中可以稀有百個安全問題有待發(fā)現(xiàn).他說,由于要預(yù)備這次黑帽大會的講演,他們還沒來得及對此進行深入研究.

　　中間人進犯并不是什么新技能.由于各種緣由,進犯者可以設(shè)法在一個瀏覽器會話過程中的多個時辰參加會話.一些進犯者可以運用包羅MD5抵觸在內(nèi)的各種方法 假造或盜取SSL證書.由于在會話抵達認證洽談的加密端口之前,SSL協(xié)議是選用明文傳輸DNS和HTTP懇求的,所以進犯者還可以在這些步調(diào)中的任一時 刻綁架會話.別的,進犯者還可以運用中間人進犯修正HTTPS鏈接,將用戶重定向到歹意HTTP網(wǎng)站.

　　對任何進犯者來說,重復(fù)Hansen和Sokol所說的任務(wù)并不簡略,它需求耐性和資源.兩位學(xué)者著重,中間人進犯達到目的之后,進犯者可以發(fā)起兩種高度風(fēng)險的進犯.

　　第一種是cookie篡改(cookie poisoning)進犯,即進犯者運用瀏覽器在用戶會話工夫不更改cookie的狀況,將同一個cookie重復(fù)標記為有用狀況.若是進犯者可以提早劫 持來自網(wǎng)站的cookie,然后再將其植入用戶的瀏覽器中,則當(dāng)用戶的認證信息抵達HTTPS站點時,進犯者就可以取得用戶憑證并以用戶身份登錄.

　　第二種是重定向進犯.許多銀行網(wǎng)站會將用戶的會話從一個HTTP站點重定向到一個HTTPS站點,該會話通常是在另一個瀏覽器選項卡中翻開,而不是在一個 新的瀏覽器窗口中翻開.由于進犯者依然操控著舊的選項卡,所以進犯者可以在URL中注入Javascript腳本并修正新選項卡的舉動.受進犯者可以會下 載可履行文件,或許被重定向到一個歹意登錄頁面.

　　Hansen和Sokol解說說,運用對準SSL Web瀏覽器會話的進犯,進犯者可以調(diào)查和核算用戶在一個網(wǎng)站的特定頁面上逗留的工夫.這可以會走漏處置數(shù)據(jù)的頁面.此刻,進犯者可以在該網(wǎng)頁上選用相關(guān)技能逼迫用戶退出登錄偏重新進行身份認證,然后取得用戶憑證.

　　Hansen指出,“有必要對SSL進行修正,比方增加填充和顫動代碼”.他解說說,經(jīng)過在Web懇求中增加無意義的編碼,可以延伸進犯者完結(jié)進犯的時 間,或許足以阻礙進犯者采納進一步的舉動.他說,“要防止此類進犯,必須采納恰當(dāng)?shù)倪x項卡阻隔和沙箱技能.安全學(xué)者或許可以防止此類狀況的發(fā)作,但普通用 戶卻不得不面對這種要挾.咱們真的很難阻礙這種進犯,我不知道有沒有簡略的方法可以處理這個問題.”