日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

外行人也聽懂了,中間人攻擊

云知道聽懂

如何防御SSL中間人攻擊?

外行人也聽懂了,中間人攻擊


SSL中間人攻擊的三大場景事實上,SSL被設計得十分安全,想要攻破并不容易 。SSL是為網絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,它可以驗證參與通訊的一方或雙方使用的證書是否由權威受信任的數(shù)字證書認證機構頒發(fā),并且能執(zhí)行雙向身份認證 。而我們現(xiàn)在常見的SSL中間人攻擊方式都是通過偽造、剝離SSL證書來實現(xiàn)的 。
換句話說,一旦發(fā)生SSL中間人攻擊事件,問題并不出在SSL協(xié)議或者SSL證書本身,而是出在SSL證書的驗證環(huán)節(jié) 。中間人攻擊的前提條件是,沒有嚴格對證書進行校驗,或者人為的信任偽造證書,因此以下場景正是最容易被用戶忽視的證書驗證環(huán)節(jié):場景一:網站沒有使用SSL證書,網站處于HTTP明文傳輸?shù)摹奥惚肌睜顟B(tài) 。
這種情況黑客可直接通過網絡抓包的方式,明文獲取傳輸數(shù)據(jù) 。場景二:黑客通過偽造SSL證書的方式進行攻擊,用戶安全意識不強選擇繼續(xù)操作 。受SSL證書保護的網站,瀏覽器會自動查驗SSL證書狀態(tài),確認無誤瀏覽器才會正常顯示安全鎖標志 。而一旦發(fā)現(xiàn)問題,瀏覽器會報各種不同的安全警告 。例如,SSL證書不是由瀏覽器中受信任的根證書頒發(fā)機構頒發(fā)的,或者此證書已被吊銷,此證書網站的域名與根證書中的域名不一致,瀏覽器都會顯示安全警告,建議用戶關閉此網頁,不要繼續(xù)瀏覽該網站 。
場景三:黑客偽造SSL證書,網站/APP只做了部分證書校驗,導致假證書蒙混過關 。例如,在證書校驗過程中只做了證書域名是否匹配,或者證書是否過期的驗證,而不是對整個證書鏈進行校驗,那么黑客就可以輕松生成任意域名的偽造證書進行中間人攻擊 。如何防御SSL中間人攻擊?首先,真正的HTTPS是不存在SSL中間人攻擊的,因此首當其沖的是要確定網站有SSL證書的保護 。
那么用戶如何判斷網站有沒有SSL證書保護呢?可使用https:// 正常訪問 。瀏覽器顯示醒目安全鎖,點擊安全鎖,可查看網站真實身份 。使用了EV SSL證書的網站,顯示綠色地址欄 。如果用戶訪問的網站呈現(xiàn)以上特征,說明該網站已受SSL證書保護 。其次,采用權威CA機構頒發(fā)的受信任的SSL證書 。
數(shù)字證書頒發(fā)機構CA是可信任的第三方,在驗證申請者的真實身份后才會頒發(fā)SSL證書,可以說是保護用戶信息安全的第一道關口 。最后,對SSL證書進行完整的證書鏈校驗 。如果是瀏覽器能識別的SSL證書,則需要檢查此SSL證書中的證書吊銷列表,如果此證書已經被證書頒發(fā)機構吊銷,則會顯示警告信息:“此組織的證書已被吊銷 。
安全證書問題可能顯示試圖欺騙您或截獲您向服務器發(fā)送的數(shù)據(jù) 。建議關閉此網頁,并且不要繼續(xù)瀏覽該網站 ?!比绻C書已經過了有效期,一樣會顯示警告信息:“此網站出具的安全證書已過期或還未生效 。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發(fā)送的數(shù)據(jù) 。建議關閉此網頁,并且不要繼續(xù)瀏覽該網站 。”如果證書在有效期內,還須檢查部署此SSL證書的網站域名是否與證書中的域名一致 。
如果以上都沒有問題,瀏覽器還會查詢此網站是否已經被列入欺詐網站黑名單,如果有問題也會顯示警告信息 。總而言之,企業(yè)能夠做到證書部署和校驗環(huán)節(jié)完整,個人用戶能夠認真觀察HTTPS安全標識,識別證書真實性、有效期等信息,HTTPS幾乎是無法攻破的,所謂的SSL中間人攻擊就是一個偽命題 。在網絡安全事件頻發(fā)的時代,部署HTTPS已是大勢所趨,它用復雜的傳輸方式降低網站被攻擊劫持的風險 。

推薦閱讀