如何应对SSLStrip攻击

2009/7/22 来源:www.arpun.com 作者:小白
2009年黑帽大会后, 关于SSL的安全性讨论越发的激烈了, 这一切都源于Moxie Marlinspike在Black Hat上的演讲, Moxie Marlinspike在大会上演示了“New Tricks for Defeating SSL in Practice ”, 中间提到了他新开发的关于SSL的欺骗攻击工具SSLStrip!
 
呵呵, 很好笑的是, 国内的各大证券赏和银行这次到是反应很热烈, 也不知道他们了不了解这种高级攻击技术;)
 
关于SSL所谓的缺陷, 感兴趣的朋友可以看看这篇帖子《SSL: 鲜为人知的安全大漏勺》
http://netsecurity.51cto.com/art/200907/135288.htm
 
这里我们简单探讨一下这类攻击的特点和防范办法:
 
首先SSLStrip是一种中间人攻击, 这就是说如果我们网络中对Arp欺骗有防范的话, 该类攻击是没有生存条件的~
 
第二SSLStrip能够攻击成功, 是因为使用安全套接层协议层(SSL)的大多数网站通常首先为访问者提供一个未加密的页面, 只有开始传输敏感信息部分时才开始提供加密保护。 举例来说, 当一个用户点击一个登录页面时, SSLStrip会修改网站未加密的响应, 使“HTTPS”变成“HTTP”, 甚至可以在浏览器地址栏中显示HTTPS的安全锁logo。 然而, 客户却一直以为连接是受加密保护的。
SSLStrip的这个攻击策略确实很巧妙, 主要是利用了客户的疏忽, 不过这个确实很有效。 因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的, 而且一般的客户也不会去观察标题栏~
解决办法:
一个比较笨的办法就是不提供http服务, 对客户只提供https服务, 客户手工敲入网站, 如:https://www.xxx.com, 这样SSLStrip的攻击技巧就无从展示, 可惜这个不太现实~
比较可行的办法, 就是通过使用数字证书或DKEY认证, 这样就保证即使SSLStrip在建立起了明文连接, 也无法进行透明代理。 此时SSLStrip不能获取数字证书, 无法进行正常的身份认证, 因此也能避免SSLStrip的攻击。 目前看国内各大银行提供的网上银行均采用这类认证方式~~
网友评论
评论(...
全部评论