TLS 1.2 协议现漏洞,多个网站受影响

栏目: 编程工具 · 发布时间: 5年前

内容简介:TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和

TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。

另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和 Vpn 会话。根据该安全研究员的网站在线扫描结果,在 Alexa 排名前100万的网站中,约有2000个易受 Zombie POODLE 的攻击,1000个网站易受 GOLDENDOODLE 的攻击。

此次攻击所需条件:

  1. HTTPS 服务端使用了 CBC 密码套件;

  2. 在被攻击客户端和被攻击服务器之间创建中间人通道 MITM,如建立恶意 WiFi 热点,或者劫持路由器等中间网络设备;

  3. 攻击者通过植入用户访问的非加密上的代码,将恶意 JavaScript 注入受害者的浏览器;

  4. 恶意脚本构造特定的 HTTPS 请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的 Cookie 和凭证。

可以如何防范与应对

  1. 确保全站 HTTPS 完整性,杜绝引入不安全的外链(HTTP 脚本资源,尤其是 JavaScript 脚本) ,可以通过一些 SSL 站点安全检测服务(如 MySSL 企业版)进行不安全外链监控;

  2. 检查服务器,避免使用 RC4 和 CBC 等不安全密码套件,可以通过 MySSL.com 检测,发现支持的加密套件中避免出现弱密码和包含 CBC 的密码套件;

  3. 涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合 HTTPS 最佳安全实践。

参考: darkreadingnccgroupcnBeta


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Linked

Linked

Albert-Laszlo Barabasi / Plume / 2003-4-29 / GBP 11.24

A cocktail party. A terrorist cell. Ancient bacteria. An international conglomerate. All are networks, and all are a part of a surprising scientific revolution. Albert-L&aacuteszló Barab&a......一起来看看 《Linked》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具