包含针对网站https的攻击的词条

hacker|
209

我的网站被攻击了,朋友说要买证书,什么是https证书啊?

https证书即ssl证书,SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本,用来保护 *** 的基本安全的,近年来很是受欢迎,大大小小的网站都相继安装上了SSL证书。你的网站被攻击其实也可以安装SSL证书,安装SSL证书还有其他的好处,比如:

1、提升网站排名,目前Google、百度等主流搜索引擎表示会优先收录以HTTPS开头的网站,并赋予网站高权重,有效提高网站关键词的排名。网站安装SSL证书便可以实现网站从HTTP升级到HTTPS。

2、网站隐私信息加密,对网站传输的数据进行加密,包括网站用户的账户密码、身份证等隐私信息,防止被黑客监听、窃取和篡改。目前大部分网站都会涉及到用户的隐私数据传输,安装SSL证书很有必要。

3、浏览器受信任,如果没有安装SSL证书,用户通过谷歌、火狐等浏览器访问企业网站时会提示不安全,这必然会影响到用户的访问体验,而安装由受信任的证书颁发机构签发的SSL证书,会成为谷歌、火狐等主流浏览器受信任站点。

4、防止流量劫持,普通的http网站非常容易遭受 *** 攻击,尤其是流量劫持,会强制用户访客其他网站,从而造成网站流量损失。而安装受信任的SSL证书,你的网站就能有效避免流量劫持。

FBI警告:HTTPS网站也并非都是安全的

美国联邦调查局(FBI)近日向网民发出警告,基于HTTPS的网站并非都是安全的。

虽然很多人都认为基于HTTPS加密传输协议的网站(浏览器地址栏处有个小锁符号),代表着该站的流量是被加密的,传输应该有保障。可是实际上,很多骇客早已开始利用人们对HTTPS的信赖,进而发起钓鱼攻击了。

HTTPS是在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。但FBI表示,这些骇客的网钓手法通常是通过电子邮件将人们诱导至被误认为安全的HTTPS网站,再伺机窃取使用者的敏感数据。

因此,使用者更好不要轻信电子邮件的名称,应进一步查看电子邮件的内容意图。如果收到了来自已知联络人的邮件,也不要盲目点击电子邮件内的任何可疑链接,而应该通过其他方式联系他进行确认。

此外,使用者也应该检查邮件中涉及的外链网址名称是否有异,例如以.com取代.gov之类的。千万不要只因其使用HTTPS协议就掉以轻心,因为它可能根本只是骇客用来混淆视听的手法罢了。

【ZOL客户端下载】看最新 科技 资讯,APP市场搜索“中关村在线”,客户端阅读体验更好。(7190596)

使用HTTPS 的网站也能被黑客监听到数据吗

HTTPS 是安全的。HTTP 在 DNS 被劫持后,可以被随意窃听、修改。

问题在于,你在访问私密页面时(比如网银),你的浏览器使用是 HTTP 还是 HTTPS。

现在很多网站,包括国内银行,并不是所有网页都在使用 HTTPS。

这就意味着,攻击者可以篡改那些使用 HTTP 的网页(或 CSS、 *** 等其他资源)。

以工行为例。网银页面当然是在 HTTPS 的保护之下的:

但是工行的首页,是不提供 HTTPS 连接的:

这就意味这,工行的首页实际上是可以被任意篡改的。(在 *** 环境不安全的情况下)

这有什么问题呢?

如果一个用户,想登陆网银,但他是先进的工行首页,然后再点击首页上的“登陆”链接:

那就危险。这个“登陆”链接可能会被篡改,由 https://… 改为 http://…。

此时,浏览器便会以不安全的 HTTP 与服务器建立连接!

攻击者便可以使用类似 SSLStrip 的工具,将浏览器的 HTTP “转成” HTTPS,再发给银行服务器。

用户 == HTTP == 攻击者 == HTTPS == 银行

如果用户在这个 HTTP 的网银页面输入了自己的密码,就等于发给了攻击者。

用户能察觉吗?能!

在登录前瞄一眼浏览器地址栏,没有带锁的安全标识、非 https:// 开头(见之一幅图),即能知晓自己被攻击了。

但是,有多少用户会注意到这些?(浏览器不会有任何警告,银行也不会察觉)

网银的例子可能还不太好,应该不少人是像我一样,直接点收藏夹的链接登陆。这个链接不会被篡改。但是,在 这样登陆、下单时反复在 HTTP 和 HTTPS 间反复跳转的呢?你是否留意该转 HTTPS 的地方转 HTTPS 了吗。

(一段跑题)有的网站更“吝啬”,连登陆页面都不用 HTTPS,自作聪明地使用 Javascript 加密用户密码。但由于这些 *** 本身可以被篡改,而且篡改后一般用户根本无法察觉,所以这么做更像是在自我安慰。实际上据说已经发生过这类攻击(你们以为运营商只是HTTP插点广告而已么,图森破啊,呵呵 -- WooYun)。

如何防范:

作为用户,平常留意一下哪些页面是使用 HTTPS 的,输入密码前确认一下地址栏:域名是否正确?是否是 https:// 开头,带有小锁的图标?

将常用的网银登陆页面加入浏览器收藏夹。

作为网站,现在越来越多的网站在全站部署 HTTPS,比如支付宝、推特、GitHub 等等。虽然会增加成本,但这是对用户负责。我认为这值得推广。

(以上这些问题,应该说是普遍存在的。拿这几个网站举例,只是因为这几个网站是我最常使用的、最熟悉的罢了,没有其他什么意思。)

HTTPS如何防止重放攻击?

客户端拼接字符串规则如下:

接口+参数+时间戳+secretID(如果不是做对外开放性的API,是内部产品调用的话那么secretID可以是写死的一个ID值)

将以上字符串用对称加密,作为一个sign参数,请求服务端。

比如接口,login,参数有 name、password、加密后的sign

服务端接收到请求后,用对称解密sign,得到secretID,核对值是否正确,那么说明请求方是可信任的。返回接口结果,并把sign记录到redis。

下次接收到同样请求时发现redis已经有对应的sign值说明是接口重放,不予以正常相应。因为正常用户调用接口时间戳应该是改变的不可能产生同样的sign值。

如果发现sign解释出来的secretID是系统不存在的,那么说明请求方在伪造请求。不予以正常相应。

感谢应邀回到本行业的问题。

在回答这个问题之前我感觉我们因该先了解一个HTTPS。

HTTPS :是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。

HTTPS 协议的主要作用可以分为两种: 一种 是建立一个信息安全通道,来保证数据传输的安全; 另一种 就是确认网站的真实性。

工作流程 为:

之一步:客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。

第二步:Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。

第三步:客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。

第四步:客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。

第五步:Web服务器利用自己的私钥解密出会话密钥。

第六步:Web服务器利用会话密钥加密与客户端之间的通信。

从其工作流程中,我们看出每个连接都会验证证书,交换密钥。别人就算截获你的数据包,重新发送一遍,因为socket不一样,密钥也不一样,后台解密后应该是一对乱码才对。所以https本身就是防止重放攻击的。

欢迎您的关注和留言评论,您的关注和鼓励才是给我们更大的动力。

0条大神的评论

发表评论