威胁快报|首爆新型TLS 1.2协议漏洞,数千网站面临数据泄露风险

栏目: 编程工具 · 发布时间: 5年前

内容简介:对于安全加密通信,传输层安全协议(SSL/TLS)的重要性不言而喻。如今的TLS协议不仅被用于传输层通讯,更作为一个标准的加密保护协议被广泛应用于 FTP, 电子邮件和VPN等领域,时刻保护着我们网络通信的安全。上周一个新的加密攻击被披露,它可以攻破加密的TLS流量,允许攻击者拦截并窃取以前认为安全可靠的数据。这两个被披露的新的TLS协议漏洞被命名为在Alexa排名前100万的网站中,约有2000个网站易受Zombie POODLE的攻击,约1000个网站易受GOLDENDOODLE的攻击,还有数百个网站仍

对于安全加密通信,传输层安全协议(SSL/TLS)的重要性不言而喻。如今的TLS协议不仅被用于传输层通讯,更作为一个标准的加密保护协议被广泛应用于 FTP, 电子邮件和VPN等领域,时刻保护着我们网络通信的安全。

上周一个新的加密攻击被披露,它可以攻破加密的TLS流量,允许攻击者拦截并窃取以前认为安全可靠的数据。这两个被披露的新的TLS协议漏洞被命名为 “Zombie POODLE”和“ GOLDENDOODLE(CVE)” 使用Zombie POODLE,能够在Citrix负载均衡器中恢复POODLE攻击,与此同时,GOLDENDOODLE是一种类似的攻击,但具有更强大,更快速的加密黑客攻击性能。

在Alexa排名前100万的网站中,约有2000个网站易受Zombie POODLE的攻击,约1000个网站易受GOLDENDOODLE的攻击,还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的攻击。

威胁快报|首爆新型TLS 1.2协议漏洞,数千网站面临数据泄露风险

此攻击所需条件:

1、HTTPS服务端使用了CBC密码套件

2、在被攻击客户端和被攻击服务器之间创建中间人通道MITM,如建立恶意WiFi热点,或者劫持路由器等中间网络设备

3、攻击者通过植入用户访问的非加密网站上的代码,将恶意JavaScript注入受害者的浏览器。

4、恶意脚本构造特定的HTTPS请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的Cookie和凭证。

如何防范与应对?

1、确保全站HTTPS完整性,杜绝引入不安全的外链(HTTP脚本资源,尤其是JavaScript脚本) ,可以通过一些SSL站点安全检测服务(如MySSL企业版)进行不安全外链监控;

威胁快报|首爆新型TLS 1.2协议漏洞,数千网站面临数据泄露风险

2、检查服务器,避免使用RC4和CBC等不安全密码套件,通过MySSL.com检测,发现支持的加密套件中避免出现弱密码和包含CBC的密码套件;

威胁快报|首爆新型TLS 1.2协议漏洞,数千网站面临数据泄露风险

3、涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合HTTPS最佳安全实践。


以上所述就是小编给大家介绍的《威胁快报|首爆新型TLS 1.2协议漏洞,数千网站面临数据泄露风险》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

物联网导论(第2版)

物联网导论(第2版)

刘云浩 / 科学出版社 / 2013-8 / 45.00元

物联网是一个基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化三个重要特征。 《物联网工程专业系列教材:物联网导论(第2版)》从物联网的感知识别层、网络构建层、管理服务层和综合应用层这四层分别进行阐述,深入浅出地为读者拨开萦绕于物联网这个概念的重重迷雾,引领求知者渐渐步入物联网世界,帮助探索者把握第三......一起来看看 《物联网导论(第2版)》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具