怎么应对SSLStrip攻击

2009年黑帽大会后， 关于SSL的安全性讨论越发的激烈了， 这一切都源于Moxie Marlinspike在Black Hat上的演讲， Moxie Marlinspike在大会上演示了“New Tricks for Defeating SSL in Practice ”， 中间提到了他新开发的关于SSL的欺骗攻击工具SSLStrip!

 

呵呵， 很好笑的是， 国内的各大证券赏和银行这次到是反应很热烈， 也不知道他们了不了解这种高级攻击技术；）

 

关于SSL所谓的缺陷， 感兴趣的朋友可以看看这篇帖子《SSL: 鲜为人知的安全大漏勺》

http://netsecurity.51cto.com/art/200907/135288.htm

 

这里我们简单探讨一下这类攻击的特点和防范办法：

 

首先SSLStrip是一种中间人攻击， 这就是说如果我们网络中对Arp欺骗有防范的话， 该类攻击是没有生存条件的~

 

第二SSLStrip能够攻击成功， 是因为使用安全套接层协议层（SSL）的大多数网站通常首先为访问者提供一个未加密的页面， 只有开始传输敏感信息部分时才开始提供加密保护。 举例来说， 当一个用户点击一个登录页面时， SSLStrip会修改网站未加密的响应， 使“HTTPS”变成“HTTP”， 甚至可以在浏览器地址栏中显示HTTPS的安全锁logo。 然而， 客户却一直以为连接是受加密保护的。

SSLStrip的这个攻击策略确实很巧妙， 主要是利用了客户的疏忽， 不过这个确实很有效。 因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的， 而且一般的客户也不会去观察标题栏~

解决办法：

一个比较笨的办法就是不提供http服务， 对客户只提供https服务， 客户手工敲入网站， 如：https://www.xxx.com， 这样SSLStrip的攻击技巧就无从展示， 可惜这个不太现实~

比较可行的办法， 就是通过使用数字证书或DKEY认证， 这样就保证即使SSLStrip在建立起了明文连接， 也无法进行透明代理。 此时SSLStrip不能获取数字证书， 无法进行正常的身份认证， 因此也能避免SSLStrip的攻击。 目前看国内各大银行提供的网上银行均采用这类认证方式~~

上面是电脑上网安全的一些基础常识，学习了安全知识，几乎可以让你免费电脑中毒的烦扰。