如何分析对HTTPS浏览器会话的攻击,相信很多没有经验的人对此无能为力。为此,本文总结了问题产生的原因及解决方法。希望你能通过这篇文章解决这个问题。
关于SSL网站的好消息是,大多数SSL网站都运行着强大的加密技术。坏消息是,超过60%的网站配置不当。Qualys公司工程、网络应用防火墙和SSL的主管和研究员Ivan Ristic发表了他对1.2亿注册域名的研究成果。Ristic发现有2000万注册域名支持SSL,而只有72万可能包含有效的SSL证书。Ristic说:“这是一个非常小的比例,但据我们所知,这并不真正意味着只有一小部分网站在使用SSL。
更有甚者,超过一半的所有SSL网站都在使用SSLv2,这是SSL的旧版本,不安全。只有38%的SSL网站配置良好,而32%的网站包含协议中以前暴露的重新协商漏洞。
与此同时,研究人员罗伯特汉森和乔希索科尔详细解释了HTTPS/SSL对浏览器的24种利用技术,使用中间人攻击。包括cookie中毒和将恶意内容注入浏览器标签。研究人员警告说,HTTPS不保证浏览器的保密性和完整性。
汉森在黑帽发布会上表示:“天没有塌下来,但目前来看,SSL相当脆弱。"需要适当的标签隔离、cookie沙盒等等."他建议使用单独的浏览器访问包含敏感信息的网站。
同时,Ristic表示,虽然SSL网站在安全方面的状态“一般”,但现在SSL很少受到攻击者的攻击。“我不认为SSL是现在常见的攻击媒介,因为有更容易被攻击的对象。现在我们应该开始修复SSL的问题,这个问题是可以修复的。”
三分之二的SSL网站使用默认设置,这使得它们容易受到攻击。Ristic说:“要解决这个问题,你应该提高警惕,与最终用户或供应商进行交谈,看看是否可以实现更好的配置,这也可能是一个更可行的解决方案。例如,SSL服务器中对不安全协议的默认支持是一个常见的错误问题。
配置SSL服务器、选择证书的密钥大小、禁用不安全的协议和禁用不安全的密码只需15分钟
不安全的SSLv2容易受到中间人攻击。虽然这个版本的SSL已经在大多数主流浏览器中被禁用,但许多SSL网站仍然在运行。“最可悲的是,超过一半的SSL网站支持SSL2。几年来,我们已经知道这是不安全的。”
然而,他发现在SSL网站上,对更安全的TLS1.1和1.2协议的支持很少或没有。
然而,调查发现,大多数SSL网站使用强大的加密技术,128位或更高。总的来说,Ristic表示,在安全性和配置方面,只有38.4%的SSL网站可以获得A,而只有61.46%的网站可以获得B或更低。Ristic计划公布本次调查的所有数据,并计划进行年度调查。
看完以上,你掌握了如何分析HTTPS浏览器会话被攻击的情况了吗?如果您想学习更多技能或了解更多相关内容,请关注行业资讯频道,感谢您的阅读!
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/86840.html