SSL/TLS協(xié)議是一個(gè)被廣泛使用的加密協(xié)議����,而研究人員近日了曝出一個(gè)名為“受誡禮”的新型攻擊手段�,能夠竊取通過SSL和TLS協(xié)議傳輸?shù)臋C(jī)密數(shù)據(jù),諸如銀行卡號碼����,密碼和其他敏感信息����。
在宛城等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局����,加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力�,以專注、極致的服務(wù)理念��,為客戶提供成都網(wǎng)站設(shè)計(jì)��、做網(wǎng)站 網(wǎng)站設(shè)計(jì)制作按需制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,營銷型網(wǎng)站建設(shè),外貿(mào)網(wǎng)站制作,宛城網(wǎng)站建設(shè)費(fèi)用合理�。
這種攻擊利用了一個(gè)RC4加密算法中的一個(gè)長達(dá)13年的漏洞。眾所周知RC4算法不怎么安全�����,但事實(shí)讓人大跌眼鏡——互聯(lián)網(wǎng)上30%的TLS流量加密使用的都是RC4算法����。
受誡禮(BAR-MITZVAH)攻擊
這種攻擊方法被取名為“受誡禮(Bar-Mitzvah)”,與之前多數(shù)的SSL攻擊手段不同�����,這種攻擊甚至不需要在客戶端和服務(wù)器間實(shí)施中間人攻擊��。
安全公司Imperva的研究員Itsik Mantin周四在新加坡舉行的Black Hat亞洲安全會議上展示了他的研究���,題為《對使用RC4算法的SSL進(jìn)行攻擊》��。
Bar Mitzvah攻擊實(shí)際上是利用了"不變性漏洞"����,這是RC4算法中的一個(gè)缺陷,它能夠在某些情況下泄露SSL/TLS加密流量中的密文��,從而將賬戶用戶名密碼�,信用卡數(shù)據(jù)和其他敏感信息泄露給黑客。
研究人員在其報(bào)告中寫道:
"RC4算法的安全性已經(jīng)被質(zhì)疑了很多年了��,特別是它的初始化機(jī)制�����。但是����,直到最近幾年我們才呼吁棄用RC4。這次的研究中��,我們跟進(jìn)2013年RC4的研究����,并且發(fā)現(xiàn)它對于很多使用了RC4的系統(tǒng)上的已知漏洞的影響很顯然被低估了���。"
Bar Mitzvah攻擊是首個(gè)僅僅需要被動嗅探和監(jiān)聽SSL/TLS連接就可以進(jìn)行攻擊的方法����,它不需要中間人攻擊。不過研究人員稱�����,要劫持會話可能還是要用到中間人攻擊�����。
安全建議
在等候"RC4全面廢棄"的同時(shí)��,管理員們也應(yīng)該考慮如下的步驟防止這類的攻擊:
1���、Web應(yīng)用管理員們應(yīng)該在應(yīng)用TLS配置中禁止RC4
2��、Web用戶(特別是超級用戶組)應(yīng)該在瀏覽器TLS配置中禁止RC4
3��、瀏覽器廠家應(yīng)該考慮移除RC4的支持���。
SSL漏洞“高發(fā)季”
過去一年,SSL協(xié)議中多個(gè)重大漏洞被爆出����,包括BEAST, POODLE和CRIME��。
當(dāng)前標(biāo)題:受誡禮攻擊:SSL/TLS曝新漏洞可明文讀傳輸數(shù)據(jù)
文章來源:
http://uogjgqi.cn/article/dhjhdhe.html
