文章网址：http://blog.xuite.net/h0120520/h0120520/22421165 本文引用iThome：http://www.ithome.com.tw/itadm/article.php?c=53601 ======================================================================= 研究人员进行SSLstrip的实际测试，并在一天内取得了117个电子邮件帐号、 16个信用卡号码、7个PayPal登入资讯， 以及其他300笔应该是要在安全网站上输入的资讯。 一名自称为Moxie Marlinspike的研究人员在上周的黑帽大会上以他所开发 的SSL strip工具，展示如何以伪造有SSL加密的https网页，窃取使用者的机密资讯。 Marlinspike说明，SSLstrip之所以能够执行是因为许多使用SSL加密的 金融或电子商务网站在一开始的网页都是使用未加密的http， 仅於要输入机密资讯时再连到https，这代表使用者是透过不安全的网页导向安全网页。 SSLstrip的作用则是在未加密的网页要将使用者导向安全网页的过程中， 进行干预并把使用者导向伪造的安全网页，再趁机窃取使用者所输入的资讯。 Marlinspike进行SSLstrip的实际测试，并在一天内取得了117个电子邮件帐号、 16个信用卡号码、7个PayPal登入资讯， 以及其他300笔应该是要在安全网站上输入的资讯。 资安业者分析， SSLstrip的手法属於透过使用者介面及通讯协定间的介面漏洞所进行的中间人 攻击（man-in-the-middle attack）， 它并非攻陷了SSL安全协定或是认证凭证的漏洞。 网路架构的安全愈来愈受关注， 去年12月於德国举行的Chaos Communication Congress（CCC）会议中就有安全 人员公布公开金钥架构（Public Key Infrastructure，PKI） 漏洞的概念验证攻击模式，供骇客发行伪造的认证凭证以取得浏览器的信任。 该攻击模式则是利用了MD5密码hash功能的漏洞，让不同的文件拥有同样的hash值， 以骗过浏览器。 -- http://blog.xuite.net/h0120520/h0120520 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.127.69.97