在保护机密信息方面,企业和黑客之间一直存在着斗争。无论规模大小,数据泄露和黑客攻击都是企业面临的问题,通过暴露敏感信息导致巨大的复杂性。每当网络安全专家提出预防性解决方案时,攻击者就会找到另一条路线。一种这样的新的、鲜为人知的技术是 SSL 剥离。问题是 SSL 剥离攻击很容易发起并且极其危险。
什么是 SSL 剥离?
SSL 剥离是MitM(中间主要)攻击的一种形式,它利用了加密协议及其启动连接的方式。这种攻击规避了用户和 Web 浏览器之间的安全 HTTPS 连接所提供的安全性,并将以纯文本形式交换的流量和敏感信息暴露给窃听者。在暴露敏感信息的同时,这种攻击还允许攻击者操纵正在传输的内容。由于它会降级 SSL/TLS 加密连接,因此也称为 SSL 降级攻击。
SSL剥离攻击如何工作?
当需要安全连接时,用户和浏览器使用SSL 加密证书,在两方之间建立加密链接。
建立安全连接时会执行以下操作:
- 用户使用不安全的 HTTP 请求请求服务器
- 服务器通过 HTTP 响应并将用户重定向到 HTTPS(安全连接)
- 安全会话以 HTTPS 请求开始
SSL 加密过程保证了完整性和隐私性。攻击者无法侵入用户和服务器之间的安全 HTTPS 连接。
攻击者在哪里拦截连接
由于初始请求和 HTTP 重定向响应是纯文本的,因此攻击者拦截了用户请求。攻击者通过HTTPS 协议与服务器建立合法连接并与用户建立 HTTP 连接,从而充当两方之间的桥梁。攻击者可以进行中间人攻击。当服务器发送响应时,攻击者将其截获并以未加密的格式发送给用户,伪装成服务器。
现在它不是一种 1:1 的交流方式。从用户传输的所有数据都将通过攻击者的服务器,而不是直接进入合法服务器。同样,服务器响应将通过中间的攻击者服务器发送。由于用户和服务器之间没有加密通信,因此通过此连接传输的所有消息都会暴露给所有人,包括攻击者。大多数受害者不会意识到收到的 URL 是不安全的 HTTP 连接,传递的所有敏感信息都将以纯文本形式传输。
SSL 剥离攻击成功背后的原因
- 拦截通信的最简单方法是使用公共热点。攻击者通常会设置名称与合法热点类似的虚假热点,并攻击进入恶意热点的用户。
- SSL 剥离攻击的另一种方法是用户通常不会在地址栏中输入完整的 URL,包括 https://。仅键入域名为攻击者向受害者提供 HTTP 链接提供了机会。
- 许多网站仅将 HTTPS 连接用于登录和其他重要页面,而将其他登录页面留在不安全的 HTTP 连接中以提高性能。
- 用户和服务器无法检测 SSL 条。假设他们正在与真正的合法合作伙伴进行通信,双方都不会怀疑数据的完整性。
- SSL 剥离只能在少数特殊情况下通过设计或技术细节来识别。只有少数迹象表明缺少安全连接。
如何防止 SSL 剥离攻击?
- SSL 证书用于创建安全站点,但为了最大限度地提高其安全性,您需要加密您网站的所有页面,包括所有子域。
- 另一种 SSL 剥离预防方法是保护本地网络免受未经授权的访问。实施强大的Web 应用程序防火墙 (WAF)将防止恶意行为者访问本地网络并横向扩展以设置中间人攻击。
- 多年来,论坛中列出并通过垃圾邮件发送的恶意链接一直是攻击者的默认武器。避免点击您不认识的人的电子邮件。
- 公共 wi-fi 热点非常适合 SSL 剥离攻击。避免不安全的 Wi-Fi 点。
- 防止 SSL 剥离攻击的另一种有效方法是在地址栏中手动输入完整的 URL。
- 一条重要的防线是实施 HSTS(HTTP 严格传输安全)——一种限制 Web 浏览器与不安全 HTTPS 连接交互的严格策略。
- 除了执行 HSTS 和启用 SSL 安全连接外,企业还需要使用 Indusface 提供的 Entrust CMS等证书管理系统来监控和管理证书生命周期、公钥基础设施和证书有效性,以防止不良行为者滥用证书。
结论
SSL 剥离攻击利用了用户没有明确请求安全页面并依赖 Web 服务器将他们重定向到所请求网站的安全版本的优势。大多数用户不知道这种攻击,但通过使用强大的 SSL 加密连接,网站所有者可以防止自己成为这种 SSL 剥离和 MiTM 攻击的受害者。