击败 SSL 的方法

信息安全 tls ssls带
2021-08-15 12:50:26

我看到了这个视频,其中那个家伙谈论了击败 SSL 的方法。但是视频是4年前的。我想知道这些攻击现在是否相关,或者已经进行了一些更新来解决这些问题。

他在视频中谈到两种不同的攻击(或工具)是

  • SSL-Stripor:在某些没有证书链的情况下,它就像证书链中间的人。它可以通过利用空前缀证书来工作。
  • SSL-Sniff:监控网页从 http 到 https 版本的转换/重定向。

我猜现在 SSL-Strip 攻击应该是相关的。我是ssl协议的新手,如果我对它有错误的理解,请原谅我。任何好的阅读材料都将不胜感激。

1个回答
  • sslstrip:这是一种降级攻击,即浏览器被迫使用不安全的HTTP 而不是HTTPS。它仍然是可能的,但可以通过使用HSTS的服务器来缓解,至少对于受支持的浏览器而言。当前大多数浏览器都支持它,有关详细信息,请参阅caniuse.com
  • sslsniff:这是一种中间人攻击。浏览器在 4 年前就检测到了这一点,但现在大多有更严格的警告,当与 HSTS 结合使用时,浏览器将不再允许绕过此警告。

任何好的阅读材料都将不胜感激。

有关缓解技术及其限制的更多详细信息,请阅读HSTSHPKP以及这些技术如何帮助检测真正的攻击

其它你可能感兴趣的问题
上一篇HSM 软件与 HSM 硬件 下一篇Microsoft SDLC 中的错误栏