日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

首先回溯下SSp攻擊的特點(diǎn)，如下：

創(chuàng)新互聯(lián)公司2013年成立，是專(zhuān)業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元合陽(yáng)做網(wǎng)站,已為上家服務(wù),為合陽(yáng)各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18980820575

1. 需要在局域網(wǎng)環(huán)境中實(shí)施該攻擊，因?yàn)槠淝疤崾茿RP欺騙，在廣域網(wǎng)的環(huán)境下，ARP欺騙沒(méi)有施展空間;

2. WEB交易頁(yè)面的特點(diǎn)是由HTTP頁(yè)面跳轉(zhuǎn)至HTTPS頁(yè)面，正是這一特點(diǎn)被攻擊者巧妙利用成功實(shí)施攻擊;

3. 上述的攻擊過(guò)程并沒(méi)有真正地攻破SSL加密通道本身，而是巧妙地利用了鏈接的跳轉(zhuǎn);

下面就基于上述這些特點(diǎn)重點(diǎn)探討一下SSp的防御方法。

1. 加密后發(fā)送機(jī)密信息：

客戶端與攻擊者之間是HTTP明文通訊，導(dǎo)致攻擊者從客戶端提交過(guò)來(lái)的數(shù)據(jù)包中剝離出明文的帳號(hào)信息。但是如果此時(shí)客戶端發(fā)出的帳號(hào)信息本身就是加密后的信息，那么攻擊者想要從中截獲用戶輸入的密碼就絕非易事。因此如果交易客戶端能夠保證從客戶端送入HTTP/HTTPS通道的密碼是加密后的密文字符串，就能夠很好地防御SSp攻擊。

例如綠盟科技終端保護(hù)系統(tǒng)金融版就采用動(dòng)態(tài)密鑰加密技術(shù)，將用戶輸入的帳號(hào)信息使用動(dòng)態(tài)密鑰加密后傳入HTTP/HTTPS通道，在防止攻擊者截獲明文密碼的同時(shí)，很好地預(yù)防了攻擊者截獲固定密鑰加密后的密文字符串并進(jìn)行重用的可能性，防御SSp攻擊的效果非常明顯，如圖1所示。

2. 防御ARP欺騙：

前面已經(jīng)講到實(shí)施ARP欺騙是SSp攻擊成功的必要條件，因此如果局域網(wǎng)內(nèi)有相應(yīng)的ARP欺騙防御措施，那么也能夠很好地防御SSp。具體如何防御ARP欺騙，有很多免費(fèi)工具，也有很多專(zhuān)業(yè)的企業(yè)級(jí)安全軟件如綠盟科技內(nèi)網(wǎng)安全管理系統(tǒng)，都能夠起到良好的防御效果。

3. URL檢查：

在客戶端顯示頁(yè)面的同時(shí)檢查相關(guān)的URL是否已被篡改，如果發(fā)現(xiàn)異常則給出安全提示，提醒用戶當(dāng)前鏈接的安全性問(wèn)題，建議用戶停止交易，或者直接屏蔽后續(xù)頁(yè)面的顯示、主動(dòng)終止交易。在我們進(jìn)行相關(guān)研究和測(cè)試的時(shí)候，已經(jīng)發(fā)現(xiàn)有個(gè)別WEB交易系統(tǒng)已經(jīng)采用了這種方法來(lái)防范此類(lèi)攻擊。

但攻防總是相對(duì)的，如果攻擊者很有針對(duì)性，就是要截獲某一特定WEB交易系統(tǒng)的帳號(hào)信息，則完全能夠在中間轉(zhuǎn)發(fā)數(shù)據(jù)包的同時(shí)過(guò)濾掉相關(guān)的檢查代碼，最終讓用戶在明文通訊的情況下完成交易，并成功截獲帳號(hào)信息。

4. EV SSL：

采用SSL擴(kuò)展驗(yàn)證機(jī)制可以使用戶比較醒目地了解到：當(dāng)前網(wǎng)站是否真正的證券交易網(wǎng)站。SSL擴(kuò)展驗(yàn)證(EV SSL)證書(shū)，英文全名為：Extended Validation SSL Certificate，是全球領(lǐng)先的數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)和主流的瀏覽器開(kāi)發(fā)商共同制定的一個(gè)新的SSL證書(shū)嚴(yán)格身份驗(yàn)證標(biāo)準(zhǔn)，讓新一代安全瀏覽器(如：IE7)能識(shí)別出 EV SSL 而在地址欄顯示為綠色，讓普通消費(fèi)者能確認(rèn)正在訪問(wèn)的網(wǎng)站，就是通過(guò)權(quán)威第三方嚴(yán)格身份驗(yàn)證的真正服務(wù)器。

5. PKI數(shù)字證書(shū)體系：

PKI數(shù)字證書(shū)可以實(shí)現(xiàn)網(wǎng)上證券用戶登陸時(shí)的身份審核認(rèn)證和交易中的防抵賴。在防止SSLstrip攻擊方面，PKI數(shù)字證書(shū)是增強(qiáng)的雙向認(rèn)證，可以有效地驗(yàn)證正在進(jìn)行的通訊是否為加密鏈接，驗(yàn)證對(duì)方是否為真正的證券交易服務(wù)器，從而可以在發(fā)現(xiàn)異常時(shí)采取控制措施，避免登錄密碼被盜;另一方面，采用數(shù)字證書(shū)后網(wǎng)上證券的身份認(rèn)證就不僅僅是用賬戶/登錄密碼就可以的，還要持有正確的證書(shū)才能完成，所以攻擊者還要進(jìn)一步取得用戶的數(shù)字證書(shū)，這也加大了攻擊的難度。

各種防御措施的簡(jiǎn)單對(duì)比

其他方式的SSp攻擊

另一種SSp攻擊方式也是現(xiàn)在大家關(guān)注的熱點(diǎn)，但目前還沒(méi)有相關(guān)的成功實(shí)驗(yàn)。

這種SSp攻擊方式是在局域網(wǎng)上使用了一個(gè)包含有效SSL證書(shū)的代理，使得瀏覽器會(huì)在地址欄顯示一個(gè)“https”。其次，它使用homographic 技術(shù)創(chuàng)建一個(gè)長(zhǎng)的URL，在地址中包含了一系列偽造的斜杠。(為防止瀏覽器將這些字符轉(zhuǎn)換成Punycode，他必須獲得一個(gè)用于*.ijjk.cn 的通配 SSL 數(shù)字證書(shū))。

結(jié)果是客戶端與攻擊者之間、攻擊者與服務(wù)器之間都是SSL加密通訊，但其中所有的數(shù)據(jù)都是通過(guò)攻擊者中繼轉(zhuǎn)發(fā)的，這也就意味著所有的信息對(duì)于攻擊者來(lái)說(shuō)都是可見(jiàn)的。

再述SSp攻擊的危害

目前已知的SSp攻擊針對(duì)的主要目標(biāo)是交易帳號(hào)的密碼信息，但因?yàn)榭蛻舳税l(fā)出的所有數(shù)據(jù)都是通過(guò)攻擊者來(lái)轉(zhuǎn)發(fā)，所以實(shí)際上攻擊者能夠截獲所有的信息，包含交易信息，進(jìn)而能夠直接篡改交易信息。但前提是攻擊者有針對(duì)性地做了處理，對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，剝離出他想要的所有敏感信息。

結(jié)束語(yǔ)

在深入剖析了SSp攻擊之后，希望每一位讀者都能夠樹(shù)立這樣的信心：SSp攻擊并不可怕，只要采取得當(dāng)?shù)姆烙胧耆梢詫Sp攻擊拒之于門(mén)外。

當(dāng)前名稱：如何防御SSp攻擊(圖)
分享網(wǎng)址：http://www.5511xx.com/article/dhojsdd.html