它是如何工作的?
SSL 剝離攻擊是透過中間人 (MitM) 攻擊來執行的。 透過將自己插入客戶端和網路伺服器之間的連線中間,攻擊者可以控製到達使用者的資料。 一旦到達那裡,用戶就可以過濾客戶端和伺服器之間發送的資料包。
SSL/TLS 連線建立在標準的、未加密的TCP 連線之上。 建立 TCP 連線後,用戶端可以啟動 SSL/TLS 會話,也可以直接透過未加密的 HTTP 請求 Web 內容。
在 SSL 剝離攻擊中,攻擊者會攔截客戶端和伺服器之間的所有流量,並在將客戶端請求傳遞到伺服器之前「剝離」客戶端請求中的任何 SSL 內容。 結果,伺服器將提供頁面的未加密 HTTP 版本,攻擊者將其傳送到客戶端。
如果伺服器僅提供 HTTPS 網頁,攻擊者可以建立兩個單獨的連線。 他們將與客戶端保持 HTTP 連接,提供他們請求的內容。 他們可以透過建立自己的伺服器 HTTPS 連線並存取使用者請求的相同頁面來存取此內容。
SSL 剝離攻擊的類型
在 SSL 剝離攻擊中,攻擊者面臨的主要挑戰是執行攔截客戶端和伺服器之間的流量所需的中間人攻擊。 攻擊者可以透過多種方法來實現此目的,包括:
- ARP 欺騙:如果攻擊者與目標位於同一區域網路 (LAN) 上,則他們可以執行 ARP 欺騙攻擊,將目標的 IP 位址對應到攻擊者的 MAC 位址。 這會導致所有發送給目標的資料都被傳送到攻擊者的電腦。
- 代理伺服器:電腦可以設定為使用代理伺服器,這將導致所有流量在到達目的地的途中傳送到特定位置。 如果攻擊者可以將目標電腦設定為使用攻擊者的伺服器作為代理,則攻擊者可以攔截使用者的所有瀏覽流量。
- 惡意公用無線網路:攻擊者可以建立模仿可信任網路的公共無線網路。 如果使用者連接到網絡,攻擊者就可以存取流經其惡意路由器的所有無線流量。
SSL 剝離攻擊的商業風險
SSL 剝離攻擊消除了 SSL/TLS 為 Web 流量提供的保護。 這可用於對業務產生負面影響的各種攻擊,包括:
- 憑證竊取: SSL 剝離攻擊可用於誘騙使用者將憑證輸入到未加密的網站,從而使攻擊者能夠竊取憑證。
- 敏感資料暴露: SSL 剝離允許攻擊者讀取客戶端和伺服器之間流動的所有數據,從而可能暴露敏感資料。
- 網路釣魚網站:攻擊者可能會提供包含惡意軟體或其他網路釣魚內容的惡意網站版本。
- 惡意內容:攻擊者可能會將惡意內容注入到提供給使用者的網頁中,從而可能傳播惡意軟體或執行其他惡意操作。
如何防止 SSL 剝離攻擊
SSL 剝離攻擊取決於攻擊者執行 MitM 攻擊並在用戶不知情的情況下將用戶轉移到未加密的 HTTP 連接的能力。 防止 SSL 剝離攻擊的一些方法包括:
- 需要 HSTS: HTTP 嚴格傳輸安全性 (HSTS) 要求瀏覽器只能使用 HTTPS 開啟網頁,以防止 SSL 剝離攻擊。
- 啟用安全cookies : cookies用於識別用戶,安全cookies只能由使用HTTPS的網站存取。 啟用安全性cookies可確保 cookie 資料只能透過 HTTPS 連線傳送。
- 使用者教育:培訓員工識別未使用 HTTPS 連線的不安全網站。
- 使用VPN:使用 VPN 或類似解決方案為遠端使用者提供安全、加密的連接,防止攻擊者執行MitM 攻擊。
防範 SSL 剝離攻擊
SSL 剝離攻擊使網路犯罪分子能夠執行 MitM 攻擊,可用於竊聽或其他惡意目的。 使用者教育和在不受信任的網路上使用 VPN 有助於防範這些攻擊。
SSL 剝離攻擊並不是公司及其用戶可能面臨的唯一威脅。 要了解有關當前網路威脅形勢以及需要警惕的最重大威脅的更多信息,請查看 Check Point 的2023 年網路安全報告。
反映意見