TLS 1.2 协议现漏洞,多个网站受影响

栏目: 编程工具 · 发布时间: 5年前

内容简介:TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和

TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。

另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和 Vpn 会话。根据该安全研究员的网站在线扫描结果,在 Alexa 排名前100万的网站中,约有2000个易受 Zombie POODLE 的攻击,1000个网站易受 GOLDENDOODLE 的攻击。

此次攻击所需条件:

  1. HTTPS 服务端使用了 CBC 密码套件;

  2. 在被攻击客户端和被攻击服务器之间创建中间人通道 MITM,如建立恶意 WiFi 热点,或者劫持路由器等中间网络设备;

  3. 攻击者通过植入用户访问的非加密上的代码,将恶意 JavaScript 注入受害者的浏览器;

  4. 恶意脚本构造特定的 HTTPS 请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的 Cookie 和凭证。

可以如何防范与应对

  1. 确保全站 HTTPS 完整性,杜绝引入不安全的外链(HTTP 脚本资源,尤其是 JavaScript 脚本) ,可以通过一些 SSL 站点安全检测服务(如 MySSL 企业版)进行不安全外链监控;

  2. 检查服务器,避免使用 RC4 和 CBC 等不安全密码套件,可以通过 MySSL.com 检测,发现支持的加密套件中避免出现弱密码和包含 CBC 的密码套件;

  3. 涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合 HTTPS 最佳安全实践。

参考: darkreadingnccgroupcnBeta


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript DOM编程艺术

JavaScript DOM编程艺术

Jeremy Keith / 杨涛、王建桥、杨晓云 / 人民邮电出版社 / 2006年12月 / 39.00元

本书讲述了JavaScript和DOM的基础知识,但重点放在DOM编程技术背后的思路和原则:预留退路、循序渐进和以用户为中心等,这些概念对于任何前端Web开发工作都非常重要。本书将这些概念贯穿在书中的所有代码示例中,使你看到用来创建图片库页面的脚本、用来创建动画效果的脚本和用来丰富页面元素呈现效果的脚本,最后结合所讲述的内容创建了一个实际的网站。 本书适合Web设计师和开发人员阅读。一起来看看 《JavaScript DOM编程艺术》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

随机密码生成器
随机密码生成器

多种字符组合密码

URL 编码/解码
URL 编码/解码

URL 编码/解码