2009年黑帽大會后， 關于SSL的安全性討論越發的激烈了， 這一切都源于Moxie Marlinspike在Black Hat上的演講， Moxie Marlinspike在大會上演示了“New Tricks for Defeating SSL in Practice ”， 中間提到了他新開發的關于SSL的欺騙攻擊工具SSLStrip!

 

呵呵， 很好笑的是， 國內的各大證券賞和銀行這次到是反應很熱烈， 也不知道他們了不了解這種高級攻擊技術；）

 

關于SSL所謂的缺陷， 感興趣的朋友可以看看這篇帖子《SSL: 鮮為人知的安全大漏勺》

http://netsecurity.51cto.com/art/200907/135288.htm

 

這里我們簡單探討一下這類攻擊的特點和防范辦法：

 

首先SSLStrip是一種中間人攻擊， 這就是說如果我們網絡中對Arp欺騙有防范的話， 該類攻擊是沒有生存條件的~

 

第二SSLStrip能夠攻擊成功， 是因為使用安全套接層協議層（SSL）的大多數網站通常首先為訪問者提供一個未加密的頁面， 只有開始傳輸敏感信息部分時才開始提供加密保護。 舉例來說， 當一個用戶點擊一個登錄頁面時， SSLStrip會修改網站未加密的響應， 使“HTTPS”變成“HTTP”， 甚至可以在瀏覽器地址欄中顯示HTTPS的安全鎖logo。 然而， 客戶卻一直以為連接是受加密保護的。

SSLStrip的這個攻擊策略確實很巧妙， 主要是利用了客戶的疏忽， 不過這個確實很有效。 因為大部分網站提供的SSL服務頁面都是由一個未加密的頁面跳轉過去的， 而且一般的客戶也不會去觀察標題欄~

解決辦法：

一個比較笨的辦法就是不提供http服務， 對客戶只提供https服務， 客戶手工敲入網站， 如：https://www.xxx.com， 這樣SSLStrip的攻擊技巧就無從展示， 可惜這個不太現實~

比較可行的辦法， 就是通過使用數字證書或DKEY認證， 這樣就保證即使SSLStrip在建立起了明文連接， 也無法進行透明代理。 此時SSLStrip不能獲取數字證書， 無法進行正常的身份認證， 因此也能避免SSLStrip的攻擊。 目前看國內各大銀行提供的網上銀行均采用這類認證方式~~

上面是電腦上網安全的一些基礎常識，學習了安全知識，幾乎可以讓你免費電腦中毒的煩擾。