研究人员在黑帽安全大会演示SSL攻击

一安全研究人员演示了通过劫持安全套接字协议层(SSL)会话来截获注册数据的方法。

Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具,可以利用http和https会话之间的接口。

Marlinspike在视频中解释道:“SSLstrip可以通过中间人(man-in-the-middles )的方式攻击网络里所有的潜在SSL连接,特别是http和https之间的接口。”

SSL和它的继任者Transport Layer Security(传输层安全)是用于TCP/IP网络加密通信上的加密协议,SSL和TLS通常被银行和其他组织用于安全页面传输。

该攻击主要依赖于用户在浏览器中输入URL却没有直接激活SSL会话,而大部分用户激活(SSL)会话都是通过点击提示的按钮。这些按钮一般出现在未加密的Http页面上,一旦点击他们将把用户带入加密的Https页面进行登录。

“这为截获信息的方式提供了多种途径”,他在黑帽大会上如是说,他还声称自己在24小时内已经截获了117个email帐户,7个Paypal注册资料,16张信用卡号码的详细信息。

SSLstrip通过监视Http传输进行工作,当用户试图进入加密的https会话时它充当代理作用。当用户认为安全的会话已经开始事,SSLstrip也通过https连接到安全服务器,所有用户到SSLstrip的连接是http,这就意味着浏览器上“毁灭性的警告”提示已经被阻止,浏览器看起来正常工作,在此期间所有的注册信息都可以轻易被截获。

Marlinspike称,它还可以在浏览器地址栏中显示https的安全锁logo,使得用户更加相信自己访问的安全性。

SSL一直被普遍认为足够安全,但部分安全研究人员曾经声称SSL通信可以被拦截。在去年8月,研究员Mike Perry称,他正在和Google就一个自己即将公布的攻击漏洞进行讨论,该漏洞将允许黑客通过WiFi网络,来截获安全站点的用户通信。

时间: 2024-09-20 17:48:25

研究人员在黑帽安全大会演示SSL攻击的相关文章

2016 黑帽大会:值得关注的 10 大安全威胁

谈谈安全威胁 本周在拉斯维加斯举行的一年一度黑帽(Black Hat)大会上,有数千名黑客和安全专家现身,揭示了如今我们在安全领域面临的最新.最大的安全威胁.在整个星期的介绍和演讲中,安全研究人员和黑客们展 示了在攻击和漏洞方面的发现,揭示了在连接设备.商业基础设施中的漏洞,等等. 下面就让我们来看看今年黑帽大会值得关注点的10个安全威胁. 软件定义网络 软件定义网络(SDN)带来了灵活性和控制力等好处,但是也带来了新的威胁,Changhoon Yoon和Seungsoo Lee这样表示.通过攻

黑天黑地黑国际,黑帽大会这 20 个黑客演讲依然很燃

  雷锋网编者按:黑帽安全技术大会(Black Hat Conference)创办于 1997 年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.值此 20 周年纪念日之际,雷锋网和你一起回顾黑帽大会上那些难忘的演讲和演示吧. 一.2000 年:全面披露和开源 黑帽大会举办多年后,才迎来第一个 High 翻全场的演讲嘉宾--Network Flight Recorder 公司 CEO Marcus Ranum.Ranum 将自己演讲的悬念留到了最后一刻,超过 1000 名观众

黑帽大会二十载:十大最佳破解案例

在过去20年里,黑帽大会曾捅出许多重大的漏洞,促成了一些重大的补丁.这些漏洞展现了现代医疗设备.ATM.汽车.路由器.手机等方面面临的安全挑战.第二十届黑帽大会今天下午在拉斯维加斯开幕.为了庆祝黑帽大会,笔者从大会历史里选编了二十年来黑帽大会展示的一些最佳.最恐怖的破解案例. 汽车破解 2015年,黑帽人士查理·米勒和克里斯·瓦拉塞克(Chris Valasek)(上图)成功黑进切诺基吉普(Jeep Cherokee)系统,厂方随之召回140万辆汽车打软件补丁.该破解用了切诺基吉普汽车里的Uco

Black Hat 2017黑帽大会:8款值得一看的黑客工具

本文讲的是Black Hat 2017黑帽大会:8款值得一看的黑客工具,每年的7月下旬和8月上旬,对于信息安全行业人员而言就像总会如期而至的夏令营和圣诞节,充满着无限的期待和憧憬.今年的黑帽安全技术大会(Black Hat Conference)将于7月22-27日期间在美国拉斯维加斯举办,为全球各国信息安全相关企业.专家们提供一个短时间.集中频繁的交流平台. 关于Black Hat 黑帽安全技术大会(Black Hat Conference)创办于1997年,被公认为世界信息安全行业的最高盛会

黑帽和Defcon安全大会回顾:谷歌恶意链接最多

导读:美国科技博客读写网(ReadWriteWeb)今天对黑帽安全大会(Black Hat)和Defcon安全大会期间的一些重要事件进行了回顾. 以下为文章概要: 黑帽安全大会流媒体视频被破解 虽然黑帽安全大会组委会对现场的流媒体视频直播收费为395美元,但Mozilla网络安全专家迈克尔·科兹(Michael Coates)却发现了一种方法,可以免费收看直播.科兹向提供视频流的第三方企业告知了这一情况,并且在几小时内修复了这一漏洞.科兹表示,这一事件表明,即使是最有安全意识的组织仍然会有纰漏,

Blackhat 2016年美国黑帽大会备受关注的三大热点

随着安全联网设备与数字联网全球经济的不断扩展,国家威胁攻击者伺机而动,消费者隐私让人担忧.当公司正挣扎如何检测并阻止威胁时,所有这些趋势一涌而上,然而企业变得更为分散开放. 关于Black Hat 黑帽安全技术大会(Black Hat Conference)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.会议引领安全思想和技术走向,参会人员包 括企业和政府的研究人员,甚至还有一些民间团队.为了保证会议能够着眼于实际并且能够最快最好地提出方案.问题的解决方法和操

黑帽大会:Win8是最安全桌面和移动系统

近日,微软即将推出的Windows 8 RTM版本,业界都在关注Windows8的一些新特性.今天,我们又得到消息,吸引全球信息安全精英的2012黑帽安全技术大会在美国拉斯维加斯顺利拉开帷幕之后,经过为期一周的黑客攻击风暴,有一个操作系统居然安然无恙,那就是微软即将对外发布的Windows 8系统.这看起来似乎Windows 8将会是最安全的桌面系统了,而且也有可能将会是最安全的移动操作系统. 图:Windows 8系统默认壁纸 远离桌面操作方式 即将发布的Windows 8将远离桌面操作的方式

BlackHat(世界黑帽大会)官方APP出现两个逻辑漏洞

如果某家普通的企业的APP或者网站出现漏洞,那么其实是很正常的事情.但是如果有人和你说FreeBuf或者Wooyun出现漏洞了,那么大家心中的第一反应肯定是"握了个擦,大新闻"! BlackHat大会马上就要举行了,作为全世界最出名的黑帽安全大会,自然受到很多人的关注.Black Hat(世界黑帽大会)2016的APP可以让参与人员查看自己的注册信息,会议安排,消息通知等一系列关于该会议的信息.值得关注的是Black Hat 2016的APP就出现了两个非常奇葩的逻辑漏洞,这两个漏洞在

2013黑帽大会:Planetbeing获“最佳提权漏洞”奖项

日前,在黑帽安全大会的 Pwnie Awards 颁奖礼上,iOS 越狱社区著名黑客 Planetbeing 获得了"最佳提权漏洞"奖项.黑客肌肉男 MuscleNerd 在推特上祝贺 Planetbeing 获得该奖项,并与我们分享了下图.在图中我们可以看到,Pwnie Awards 的标志--一只金色的小马驹玩偶.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' border="0&quo