日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

SSL/TLS協(xié)議是一個(gè)被廣泛使用的加密協(xié)議，而研究人員近日了曝出一個(gè)名為“受誡禮”的新型攻擊手段，能夠竊取通過(guò)SSL和TLS協(xié)議傳輸?shù)臋C(jī)密數(shù)據(jù)，諸如銀行卡號(hào)碼，密碼和其他敏感信息。

在宛城等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站 網(wǎng)站設(shè)計(jì)制作按需制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,營(yíng)銷型網(wǎng)站建設(shè),外貿(mào)網(wǎng)站制作,宛城網(wǎng)站建設(shè)費(fèi)用合理。

這種攻擊利用了一個(gè)RC4加密算法中的一個(gè)長(zhǎng)達(dá)13年的漏洞。眾所周知RC4算法不怎么安全，但事實(shí)讓人大跌眼鏡——互聯(lián)網(wǎng)上30%的TLS流量加密使用的都是RC4算法。

受誡禮(BAR-MITZVAH)攻擊

這種攻擊方法被取名為“受誡禮(Bar-Mitzvah)”，與之前多數(shù)的SSL攻擊手段不同，這種攻擊甚至不需要在客戶端和服務(wù)器間實(shí)施中間人攻擊。

安全公司Imperva的研究員Itsik Mantin周四在新加坡舉行的Black Hat亞洲安全會(huì)議上展示了他的研究，題為《對(duì)使用RC4算法的SSL進(jìn)行攻擊》。

Bar Mitzvah攻擊實(shí)際上是利用了"不變性漏洞"，這是RC4算法中的一個(gè)缺陷，它能夠在某些情況下泄露SSL/TLS加密流量中的密文，從而將賬戶用戶名密碼，信用卡數(shù)據(jù)和其他敏感信息泄露給黑客。

研究人員在其報(bào)告中寫(xiě)道：

"RC4算法的安全性已經(jīng)被質(zhì)疑了很多年了，特別是它的初始化機(jī)制。但是，直到最近幾年我們才呼吁棄用RC4。這次的研究中，我們跟進(jìn)2013年RC4的研究，并且發(fā)現(xiàn)它對(duì)于很多使用了RC4的系統(tǒng)上的已知漏洞的影響很顯然被低估了。"

Bar Mitzvah攻擊是首個(gè)僅僅需要被動(dòng)嗅探和監(jiān)聽(tīng)SSL/TLS連接就可以進(jìn)行攻擊的方法，它不需要中間人攻擊。不過(guò)研究人員稱，要劫持會(huì)話可能還是要用到中間人攻擊。

安全建議

在等候"RC4全面廢棄"的同時(shí)，管理員們也應(yīng)該考慮如下的步驟防止這類的攻擊:

1、Web應(yīng)用管理員們應(yīng)該在應(yīng)用TLS配置中禁止RC4

2、Web用戶(特別是超級(jí)用戶組)應(yīng)該在瀏覽器TLS配置中禁止RC4

3、瀏覽器廠家應(yīng)該考慮移除RC4的支持。

SSL漏洞“高發(fā)季”

過(guò)去一年，SSL協(xié)議中多個(gè)重大漏洞被爆出，包括BEAST, POODLE和CRIME。

標(biāo)題名稱：受誡禮攻擊：SSL/TLS曝新漏洞可明文讀傳輸數(shù)據(jù)
鏈接分享：http://www.5511xx.com/article/dhjhdhe.html