关于溺水攻击你需要知道的一切

被确定为低成本攻击,DROWN 允许黑客在数小时内解密浏览器-服务器通信以攻击服务器或/和用户。令人震惊的是,这个新发现的漏洞甚至可以在 TLS 服务器上运行,并影响 yahoo.com、alibaba.com、buzzfeed.com、flickr.com 和 cnbc.com 等等。DROWN 漏洞和受影响的网站列表于 2016 年 3 月 1 日公开披露,仍有许多网站未能保护其主域和子域。3 月 1 日,大约有 1100 万个电子邮件服务器和网站易受此攻击。

关于溺水攻击你需要知道的一切

到底什么是溺

使用过时和弱化的 N加密( DROWN )解密R SA是在 OpenSSL 中发现的一个漏洞,它允许攻击者解密安全的 HTTPS 浏览器与服务器的通信。来自明斯特应用科学大学、电气工程系、Horst Görtz IT 安全研究所、特拉维夫大学、波鸿鲁尔大学、Hashcat 项目、宾夕法尼亚大学、密歇根大学 Google/OpenSSL 和两个 Sigma/OpenSSL 的研究人员发现了该漏洞.

值得注意的是,DROWN 攻击的目标是 SSLv2,这是一种旧的且已弃用的加密协议。SSL v2 即使在 90 年代也有严重不安全的名声,很快就被丢弃以保护用户到服务器的通信。尽管大多数现代 Web 服务器和网站不使用 TLS 加密协议,但由于默认设置和错误配置,许多服务器仍然可以支持 SSLv2。

什么是利用风险?

将用户劫持到浏览器通信意味着攻击者可以获取正在发送的任何内容。这包括文档、即时消息、电子邮件、信用卡号、密码、用户名和其他敏感信息。但是,利用风险不仅限于窃取敏感信息。攻击者可以使用它来访问网站服务器或冒充安全网站或向用户发送消息。

您是否容易受到 DROWN 攻击?

如果您的服务器允许 SSLv2 连接并且不受 Web 应用程序防火墙的保护,那么它很容易受到 DROWN 攻击。虽然管理员肯定会放弃对 SSLv2 的支持,但他们可能不知道默认设置问题和其他错误配置。

关于溺水攻击你需要知道的一切

请注意,即使您在任何其他可能支持 SSLv2 的服务器上允许使用私钥,黑客也可以利用 DROWN。这对于电子邮件服务提供商来说非常重要,他们经常在他们的电子邮件和 Web 服务器上使用相同的证书。AppTrana还将标记易受 DROWN 攻击的服务器。

如何防止 DROWN 攻击?

理想情况下,服务器操作员和管理员应该寻找允许 SSLv2 支持的错误配置并立即终止它。但是,这是一个复杂的过程,可能需要几天时间才能找到配置和默认设置错误。OpenSSL 建议升级到最新的 OpenSSL 版本。正如我们告知客户的那样,AppTrana Web 应用程序防火墙 (WAF) 服务不受影响,因为我们的 WAF 解决方案未启用 SSLv2。中间的人无法访问您的 RSA 密钥。

文章链接: https://www.mfisp.com/11548.html

文章标题:关于溺水攻击你需要知道的一切

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
IDC云库

您的企业需要拥抱的10个最新人工智能趋势

2022-10-24 11:31:11

IDC云库

数据网格:它的含义以及它如何帮助零售业面向未来

2022-10-24 12:14:26

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠