小谈SSL安全协议(原创)

小谈SSL安全协议(原创)
小谈SSL安全协议(原创)
fooying (H.U.C)
blog:http://hi.baidu.com/fooying
QQ413673800

对于安全协议,就我个人来说,平常接触最多是SSL安全协议,我想很多人与我样吧。
  SSL (Secure Socket Layer),为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。
具体介绍大家看http://forum.chinesehonker.org/thread-10881-1-1.html
  可能那个介绍,大家不大清楚,这里我说个例子。
  不知道大家是否尝试过,在登陆QQ邮箱的时候,把网址http://www.mail.qq.com/cgi-bin/loginpage改为https://www.mail.qq.com/cgi-bin/loginpage,然后再登陆呢?如图是改后的
 


  这样的路有个好处,增加安全性。也许有的人会问:增加个s就安全了?其实稍懂的人一看就能知道,加了S以后,其实就是采用了SSL安全协议,数据在传输的时候就会加密,这样就避免了信息被监听盗取的可能性,因为即使监听到,但得到是加密的数据,就失去了原来的用处了。
  这是个简单的例子,向大家介绍SSL安全协议。
  难道SSL安全协议就很安全,不能破解吗?如果是之前,那我还真不好说,不过现在可以明确告诉大家,可以破解。以下是摘录的一段报道(来自于http://butian.org/server/780.html报道时间2009.02.22):
Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具,可以利用http和https会话之间的接口。

Marlinspike在视频中解释道:“SSLstrip可以通过中间人(man-in-the-middles )的方式攻击网络里所有的潜在SSL连接,特别是http和https之间的接口。”

SSL和它的继任者Transport Layer Security(传输层安全)是用于TCP/IP网络加密通信上的加密协议,SSL和TLS通常被银行和其他组织用于安全页面传输。

该攻击主要依赖于用户在浏览器中输入URL却没有直接激活SSL会话,而大部分用户激活(SSL)会话都是通过点击提示的按钮。这些按钮一般出现在未加密的Http页面上,一旦点击他们将把用户带入加密的Https页面进行登录。

“这为截获信息的方式提供了多种途径”,他在黑帽大会上如是说,他还声称自己在24小时内已经截获了117个email帐户,7个Paypal注册资料,16张信用卡号码的详细信息。

SSLstrip通过监视Http传输进行工作,当用户试图进入加密的https会话时它充当代理作用。当用户认为安全的会话已经开始事,SSLstrip也通过https连接到安全服务器,所有用户到SSLstrip的连接是http,这就意味着浏览器上“毁灭性的警告”提示已经被阻止,浏览器看起来正常工作,在此期间所有的注册信息都可以轻易被截获。

Marlinspike称,它还可以在浏览器地址栏中显示https的安全锁logo,使得用户更加相信自己访问的安全性。

SSL一直被普遍认为足够安全,但部分安全研究人员曾经声称SSL通信可以被拦截。在去年8月,研究员Mike Perry称,他正在和Google就一个自己即将公布的攻击漏洞进行讨论,该漏洞将允许黑客通过WiFi网络,来截获安全站点的用户通信。
  个人在查看相关破解资料后,认为,其实方法对于大部分的人来说是难于理解并实现的,而可以做到的牛人就不会放眼于我们身上,这是微软等那些大公司来说才该担心,我们现在还是可以放心使用。
  个人感觉,如果要做一个合格的红客,安全协议的了解是必不可少的,希望大家能多多关注。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyin 730; 360SE)