内容简介:TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和
TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。
另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和 Vpn 会话。根据该安全研究员的网站在线扫描结果,在 Alexa 排名前100万的网站中,约有2000个易受 Zombie POODLE 的攻击,1000个网站易受 GOLDENDOODLE 的攻击。
此次攻击所需条件:
-
HTTPS 服务端使用了 CBC 密码套件;
-
在被攻击客户端和被攻击服务器之间创建中间人通道 MITM,如建立恶意 WiFi 热点,或者劫持路由器等中间网络设备;
-
攻击者通过植入用户访问的非加密上的代码,将恶意 JavaScript 注入受害者的浏览器;
-
恶意脚本构造特定的 HTTPS 请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的 Cookie 和凭证。
可以如何防范与应对
-
确保全站 HTTPS 完整性,杜绝引入不安全的外链(HTTP 脚本资源,尤其是 JavaScript 脚本) ,可以通过一些 SSL 站点安全检测服务(如 MySSL 企业版)进行不安全外链监控;
-
检查服务器,避免使用 RC4 和 CBC 等不安全密码套件,可以通过 MySSL.com 检测,发现支持的加密套件中避免出现弱密码和包含 CBC 的密码套件;
-
涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合 HTTPS 最佳安全实践。
参考: darkreading , nccgroup , cnBeta
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- Ghostscript 多个-dSAFER 沙箱绕过漏洞
- 针对多个DirectX内核漏洞的分析
- GitLab 10.0.5 发布,修复多个漏洞
- Spring Framework 多个安全漏洞预警
- Foxit Reader多个UAF漏洞解析
- 苹果旗下WebKit产品多个高危漏洞预警
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
JavaScript DOM编程艺术
Jeremy Keith / 杨涛、王建桥、杨晓云 / 人民邮电出版社 / 2006年12月 / 39.00元
本书讲述了JavaScript和DOM的基础知识,但重点放在DOM编程技术背后的思路和原则:预留退路、循序渐进和以用户为中心等,这些概念对于任何前端Web开发工作都非常重要。本书将这些概念贯穿在书中的所有代码示例中,使你看到用来创建图片库页面的脚本、用来创建动画效果的脚本和用来丰富页面元素呈现效果的脚本,最后结合所讲述的内容创建了一个实际的网站。 本书适合Web设计师和开发人员阅读。一起来看看 《JavaScript DOM编程艺术》 这本书的介绍吧!