自进入商业市场以来,SSL 证书已进行了多次安全改进,现在几乎达到了牢不可破的加密级别。 然而,不断改进的 SSL 并没有阻止愤世嫉俗的攻击者试图窃取加密数据。
即使采取了强大的安全措施,一种被称为SSL 剥离的网络威胁仍然笼罩着网络,它在 HTTPS 配置中寻找安全漏洞和漏洞,一有疏忽就会发动攻击。 本文将解释什么是 SSL 剥离攻击、为什么它很危险,以及如何检测和防止 SSL 剥离攻击威胁到你的网站和业务。
目录
什么是 SSL 剥离?
SSL 剥离是一种针对用户与网站之间安全通信的网络攻击。 它利用了大多数网站和在线服务使用 SSL/TLS 加密来保护互联网上传输的敏感信息这一事实。 SSL 剥离攻击会将安全的 HTTPS 连接降级为不安全的 HTTP 连接,使网络窃贼更容易拦截和操纵网络服务器与客户端之间传输的数据。
SSL 如何剥离?
2009 年,倡导广泛使用强加密技术和 PET(隐私增强技术)的美国著名计算机安全研究员莫克西-马林斯派克(Moxie Marlinspike)在黑帽信息安全活动上首次谈到了 SSL 条形码。
为了更好地理解 SSL 剥离攻击是如何工作的,让我们考虑这样一种情况:用户希望通过 HTTPS 访问网站。 用户的网络浏览器通过向网站申请SSL 证书来启动连接。 如果网站的 SSL 证书有效,浏览器就会信任它,并允许访问者访问网页。
然而,在 SSL 剥离攻击中,攻击者充当中间人,拦截初始请求,并在到达网站之前将连接降级为 HTTP。 因此,浏览器对攻击毫无察觉,黑客可以截获、读取和修改用户与网站之间传输的任何数据。
攻击者通过各种手段,如恶意 Wi-Fi 热点或被入侵的网络设备,将自己置于用户和网站之间。 然后,他们会修改网站的响应,删除任何对 HTTPS 的引用,代之以 HTTP。
此外,它们还可能删除安全链接、重定向或其他执行 HTTPS 的元素。
由于用户的浏览器现在认为网站使用的是 HTTP,因此用户随后提出的任何请求,如提交登录凭证或敏感信息,都将通过不安全的连接发送。
SSL 剥离的类型有哪些?
常见的 SSL 剥离攻击有两种类型:被动型和主动型。 让我们深入了解更多技术细节,探索每一种攻击。
被动 SSL 剥离
在被动 SSL 剥离攻击中,攻击者拦截用户与网站之间的通信,但不修改任何数据。 以下是流程的详细介绍:
- 用户使用 HTTPS 启动与网站的连接,但攻击者拦截了这一连接。
- 然后,黑客通过操纵发回用户浏览器的响应标头,实施 SSL 降级攻击。
- 一旦连接降级,攻击者就可以拦截并查看用户与网站之间的全部通信。
- 攻击者会悄悄收集截获的数据,用于恶意目的,如身份盗用、账户泄露或未经授权访问敏感资源。
主动 SSL 剥离
主动 SSL 剥离攻击则更进一步,不仅将连接降级为 HTTP,还修改了用户与网站之间交换的网页内容。 下面是更详细的解释:
- 攻击者拦截用户的 HTTPS 连接并将其降级为 HTTP,类似于被动 SSL 剥离。
- 在主动 SSL 剥离中,黑客会主动更改用户与网站之间交换的网页内容。 他们可以使用各种技术,例如
- 更改链接:攻击者修改网页内的链接,使其指向不安全的 HTTP URL,而不是安全的 HTTPS URL。
- 注入恶意代码:攻击者可在网页中插入恶意 JavaScript 或 HTML 代码,以获取用户输入或窃取敏感数据。
- 重定向用户:攻击者可能会将用户重定向到一个模仿合法网站的虚假网站–这是一种典型的网络钓鱼攻击,可能会造成严重后果。
主动 SSL 剥离攻击比被动攻击更危险,因为它们涉及内容操作,并可能导致额外的利用和用户信息泄露。
为什么 SSL Strip 如此危险?
SSL Strip 会将来自受害者机器的所有流量重新路由到攻击者创建的代理。 现在,让我们设身处地地为攻击者想想。 我们在受害者和代理服务器之间建立了连接。 它可以拦截流向我们的所有流量。 如果不使用 SSL Strip,我们只会收到加密数据,而无法解码。
但是,一旦加入 SSL 带,情况就大不一样了。 如果有人在后台运行 Strip 的情况下连接到我们的代理服务器,受害者不会从浏览器中收到任何关于SSL 证书错误的提示。 他们不会怀疑真的发生了袭击。 那么,SSL 加密条如何同时欺骗浏览器和网站服务器呢?
Strip 利用了大多数用户访问 SSL 网站的方式。 大多数访问者会连接到网站的重定向页面(例如:302 重定向),或者通过非 SSL 网站的链接到达 SSL 页面。 例如,如果受害者想购买数字产品,并在地址栏中输入以下 URLwww.somedigitalproduct.com,浏览器就会连接到攻击者的机器,并等待服务器的响应。 反过来,攻击者会将受害者的请求转发到网店服务器,并收到安全的 HTTPS 支付页面。 例如https://www.somedigitalproduct.com。
此时,攻击者可以完全控制安全支付页面。 他将其从 HTTPS 降级为 HTTP,然后发回受害者的浏览器。 浏览器现在重定向到http://www.somedigitalproduct.com。 从现在起,受害者的所有数据都将以纯 文本格式传输,攻击者可以截获这些数据。 同时,网站服务器会认为它已成功建立了安全连接。 它确实做到了,但用的是攻击者的机器,而不是受害者的。
如何检测 SSL 剥离?
虽然识别 SSL 剥离攻击很有难度,但有几个指标可以注意。 以下是有助于检测 SSL 剥离的五个迹象。
- 挂锁符号丢失:通常,当您访问安全网站时,浏览器会在网站 URL 附近的地址栏中显示挂锁符号。 如果挂锁符号丢失或被警告图标取代,则可能表明现在是通过 HTTP 连接,可能会发生 SSL 剥离。
- URL 不一致:注意网站的 URL。 最初通过 HTTPS 加载安全网站时,URL 会以 “https://”开头。如果在与网站交互的过程中,URL 从 “https://”变为 “http://”,则表明连接已降级,可能正在进行 SSL 剥离。
- 浏览器警告信息:当存在安全问题时,现代浏览器通常会显示警告信息。 如果浏览器显示网站的安全证书无效或连接不安全,则应离开该网站。
- 混合内容警告:安全网站(HTTPS)不应从不安全来源(HTTP)加载任何内容,如图像或脚本。 如果浏览器显示有关 “混合内容 “的警告,则表明安全连接可能已被篡改,有可能是 SSL 剥离攻击。
- 意外行为:如果你发现网站上出现异常行为,如功能缺失、图像损坏或页面元素不一致,这也可能是 SSL 剥离攻击的迹象。 攻击者可能会修改内容或注入恶意代码,从而导致意想不到的网站行为。
值得注意的是,这些指标并非万无一失,不一定总能显示出MitM 攻击或 SSL 剥离。 但是,如果您遇到任何这些迹象,建议您谨慎行事,并考虑正在发作的可能性。
如何防止 SSL 剥离?
防止 SSL 剥离需要多层次的方法。 首先,网站所有者应通过实施 HTTP 严格传输安全(HSTS)来默认执行 HTTPS 连接,即指示用户的浏览器只能通过安全的 HTTPS 连接与网站通信。 此外,网站所有者应及时更新 SSL 证书,并采用最新的加密协议和加密算法。
从用户的角度来看,在共享敏感信息之前,提高警惕并验证网站的安全性至关重要。 用户应寻找挂锁符号,检查 URL 中是否有 “https “前缀,在不熟悉或可疑的网站上输入登录凭据或进行在线交易时要谨慎。 采用可靠的 VPN(虚拟专用网络)还可以加密所有互联网流量,防止潜在攻击者截获,从而有助于抵御 SSL 剥离攻击。
结论
尽管 SSL/TLS 加密技术不断进步,但攻击者仍在继续利用漏洞,将安全的 HTTPS 降级为不安全的 HTTP 连接。 现在检测 SSL 剥离攻击更容易了,因为所有现代浏览器都会将 HTTP 网站标记为不安全网站,并鼓励用户不要使用这些网站。 通过了解信息、实施强有力的安全措施以及积极主动地检测和预防此类攻击,个人和企业可以确保更安全的在线互动。
常见问题
SSL 剥离是一种中间人攻击,通过将安全 HTTPS 连接降级为非安全 HTTP 连接,攻击用户与网站之间的安全通信。
复制链接
在使用公共 Wi-Fi 的咖啡馆中,攻击者通过拦截用户的安全 HTTPS 连接并将其降级为非安全 HTTP 连接来实施 SSL 剥离攻击,从而获取登录凭证等敏感数据,并可能在未经授权的情况下访问在线账户。
复制链接
是的,SSL 剥离可被视为一种降级攻击。 它将 HTTPS 连接降级为脆弱的 HTTP 协议,数据以纯文本形式传输。 因此,攻击者可以拦截并破译传输中的信息。
复制链接
是的,SSL 剥离是一种 MitM 攻击。 攻击者将自己置于用户和网站之间,拦截通信并操纵流量,从而危及敏感数据的安全和隐私。
复制链接
是的,SSL 剥离可用于TLS(传输层安全),即 SSL(安全套接字层)的后续产品。 虽然该名称指的是 SSL,但攻击者可以使用该技术来剥夺 SSL 和 TLS 连接的安全性,因为降低连接等级的基本原理是相同的。
复制链接
