日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

SSL/TLS協(xié)議是一個被廣泛使用的加密協(xié)議，而研究人員近日了曝出一個名為“受誡禮”的新型攻擊手段，能夠竊取通過SSL和TLS協(xié)議傳輸?shù)臋C(jī)密數(shù)據(jù)，諸如銀行卡號碼，密碼和其他敏感信息。

在宛城等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站設(shè)計、做網(wǎng)站 網(wǎng)站設(shè)計制作按需制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,營銷型網(wǎng)站建設(shè),外貿(mào)網(wǎng)站制作,宛城網(wǎng)站建設(shè)費用合理。

這種攻擊利用了一個RC4加密算法中的一個長達(dá)13年的漏洞。眾所周知RC4算法不怎么安全，但事實讓人大跌眼鏡——互聯(lián)網(wǎng)上30%的TLS流量加密使用的都是RC4算法。

受誡禮(BAR-MITZVAH)攻擊

這種攻擊方法被取名為“受誡禮(Bar-Mitzvah)”，與之前多數(shù)的SSL攻擊手段不同，這種攻擊甚至不需要在客戶端和服務(wù)器間實施中間人攻擊。

安全公司Imperva的研究員Itsik Mantin周四在新加坡舉行的Black Hat亞洲安全會議上展示了他的研究，題為《對使用RC4算法的SSL進(jìn)行攻擊》。

Bar Mitzvah攻擊實際上是利用了"不變性漏洞"，這是RC4算法中的一個缺陷，它能夠在某些情況下泄露SSL/TLS加密流量中的密文，從而將賬戶用戶名密碼，信用卡數(shù)據(jù)和其他敏感信息泄露給黑客。

研究人員在其報告中寫道：

"RC4算法的安全性已經(jīng)被質(zhì)疑了很多年了，特別是它的初始化機(jī)制。但是，直到最近幾年我們才呼吁棄用RC4。這次的研究中，我們跟進(jìn)2013年RC4的研究，并且發(fā)現(xiàn)它對于很多使用了RC4的系統(tǒng)上的已知漏洞的影響很顯然被低估了。"

Bar Mitzvah攻擊是首個僅僅需要被動嗅探和監(jiān)聽SSL/TLS連接就可以進(jìn)行攻擊的方法，它不需要中間人攻擊。不過研究人員稱，要劫持會話可能還是要用到中間人攻擊。

安全建議

在等候"RC4全面廢棄"的同時，管理員們也應(yīng)該考慮如下的步驟防止這類的攻擊:

1、Web應(yīng)用管理員們應(yīng)該在應(yīng)用TLS配置中禁止RC4

2、Web用戶(特別是超級用戶組)應(yīng)該在瀏覽器TLS配置中禁止RC4

3、瀏覽器廠家應(yīng)該考慮移除RC4的支持。

SSL漏洞“高發(fā)季”

過去一年，SSL協(xié)議中多個重大漏洞被爆出，包括BEAST, POODLE和CRIME。

分享標(biāo)題：受誡禮攻擊：SSL/TLS曝新漏洞可明文讀傳輸數(shù)據(jù)
文章地址：http://www.dlmjj.cn/article/dhjhdhe.html