監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉
鷹潭網(wǎng)站建設(shè)公司

當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 鷹潭OA > 鷹潭網(wǎng)站建設(shè)公司

HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

鷹潭網(wǎng)站建設(shè)www.diyphp.net

HTTPS(安全HTTP)和SSL/TLS(安全套接層/傳輸層安全)協(xié)議是Web安全和可信電子商務(wù)的中心,但Web運(yùn)用安全學(xué)者Robert "RSnake" Hansen和Josh Sokol在昨日的黑帽大會(huì)上宣告,Web瀏覽器的根底架構(gòu)中存在24個(gè)風(fēng)險(xiǎn)程度不同的安全縫隙.這些縫隙基本上使HTTPS和SSL可以供給的瀏覽器保 護(hù)化為烏有. HTTPS對(duì)HTTP協(xié)議進(jìn)行了加密,以維護(hù)用戶的頁(yè)面懇求和Web服務(wù)器回來(lái)的頁(yè)面不被偷聽(tīng).SSL及后來(lái)的TLS協(xié)議答應(yīng)HTTPS運(yùn)用公鑰加密驗(yàn)證Web客戶端和服務(wù)器.

  Hansen和Sokol指出,進(jìn)犯者要運(yùn)用這些縫隙,首要需求建議中間人進(jìn)犯.進(jìn)犯者一旦綁架了瀏覽器會(huì)話,就可以運(yùn)用這些縫隙中的大多數(shù)對(duì)會(huì)話進(jìn)行重定向,然后盜取用戶憑證或許從長(zhǎng)途隱秘履行代碼.

  但是,兩位研究人員著重,中間人進(jìn)犯并不是進(jìn)犯者的終極意圖.

  Hansen指出,“運(yùn)用中間人進(jìn)犯,進(jìn)犯者還可以完結(jié)許多愈加簡(jiǎn)略的進(jìn)犯.你不得不'履行'中間人進(jìn)犯,并被逼成為一個(gè)非常堅(jiān)決的進(jìn)犯者……但是,這還不是最壞的狀況.關(guān)于電子商務(wù)運(yùn)用來(lái)說(shuō),這些進(jìn)犯簡(jiǎn)直是毀滅性的災(zāi)禍.”

  實(shí)際上,Hansen置疑HTTPS和SSL/TLS中可以稀有百個(gè)安全問(wèn)題有待發(fā)現(xiàn).他說(shuō),由于要預(yù)備這次黑帽大會(huì)的講演,他們還沒(méi)來(lái)得及對(duì)此進(jìn)行深入研究.

  中間人進(jìn)犯并不是什么新技能.由于各種緣由,進(jìn)犯者可以設(shè)法在一個(gè)瀏覽器會(huì)話過(guò)程中的多個(gè)時(shí)辰參加會(huì)話.一些進(jìn)犯者可以運(yùn)用包羅MD5抵觸在內(nèi)的各種方法 假造或盜取SSL證書(shū).由于在會(huì)話抵達(dá)認(rèn)證洽談的加密端口之前,SSL協(xié)議是選用明文傳輸DNS和HTTP懇求的,所以進(jìn)犯者還可以在這些步調(diào)中的任一時(shí) 刻綁架會(huì)話.別的,進(jìn)犯者還可以運(yùn)用中間人進(jìn)犯修正HTTPS鏈接,將用戶重定向到歹意HTTP網(wǎng)站.

  對(duì)任何進(jìn)犯者來(lái)說(shuō),重復(fù)Hansen和Sokol所說(shuō)的任務(wù)并不簡(jiǎn)略,它需求耐性和資源.兩位學(xué)者著重,中間人進(jìn)犯達(dá)到目的之后,進(jìn)犯者可以發(fā)起兩種高度風(fēng)險(xiǎn)的進(jìn)犯.

  第一種是cookie篡改(cookie poisoning)進(jìn)犯,即進(jìn)犯者運(yùn)用瀏覽器在用戶會(huì)話工夫不更改cookie的狀況,將同一個(gè)cookie重復(fù)標(biāo)記為有用狀況.若是進(jìn)犯者可以提早劫 持來(lái)自網(wǎng)站的cookie,然后再將其植入用戶的瀏覽器中,則當(dāng)用戶的認(rèn)證信息抵達(dá)HTTPS站點(diǎn)時(shí),進(jìn)犯者就可以取得用戶憑證并以用戶身份登錄.

  第二種是重定向進(jìn)犯.許多銀行網(wǎng)站會(huì)將用戶的會(huì)話從一個(gè)HTTP站點(diǎn)重定向到一個(gè)HTTPS站點(diǎn),該會(huì)話通常是在另一個(gè)瀏覽器選項(xiàng)卡中翻開(kāi),而不是在一個(gè) 新的瀏覽器窗口中翻開(kāi).由于進(jìn)犯者依然操控著舊的選項(xiàng)卡,所以進(jìn)犯者可以在URL中注入Javascript腳本并修正新選項(xiàng)卡的舉動(dòng).受進(jìn)犯者可以會(huì)下 載可履行文件,或許被重定向到一個(gè)歹意登錄頁(yè)面.

  Hansen和Sokol解說(shuō)說(shuō),運(yùn)用對(duì)準(zhǔn)SSL Web瀏覽器會(huì)話的進(jìn)犯,進(jìn)犯者可以調(diào)查和核算用戶在一個(gè)網(wǎng)站的特定頁(yè)面上逗留的工夫.這可以會(huì)走漏處置數(shù)據(jù)的頁(yè)面.此刻,進(jìn)犯者可以在該網(wǎng)頁(yè)上選用相關(guān)技能逼迫用戶退出登錄偏重新進(jìn)行身份認(rèn)證,然后取得用戶憑證.

  Hansen指出,“有必要對(duì)SSL進(jìn)行修正,比方增加填充和顫動(dòng)代碼”.他解說(shuō)說(shuō),經(jīng)過(guò)在Web懇求中增加無(wú)意義的編碼,可以延伸進(jìn)犯者完結(jié)進(jìn)犯的時(shí) 間,或許足以阻礙進(jìn)犯者采納進(jìn)一步的舉動(dòng).他說(shuō),“要防止此類進(jìn)犯,必須采納恰當(dāng)?shù)倪x項(xiàng)卡阻隔和沙箱技能.安全學(xué)者或許可以防止此類狀況的發(fā)作,但普通用 戶卻不得不面對(duì)這種要挾.咱們真的很難阻礙這種進(jìn)犯,我不知道有沒(méi)有簡(jiǎn)略的方法可以處理這個(gè)問(wèn)題.”

發(fā)布:2007-03-31 14:58    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
鷹潭OA
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普鷹潭網(wǎng)站建設(shè)公司其他應(yīng)用

鷹潭軟件開(kāi)發(fā)公司 鷹潭門禁系統(tǒng) 鷹潭物業(yè)管理軟件 鷹潭倉(cāng)庫(kù)管理軟件 鷹潭餐飲管理軟件 鷹潭網(wǎng)站建設(shè)公司