记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Drown跨协议攻击TLS漏洞分析

北京时间 2016年3月2日,OpenSSL官方发布了新的安全公告。公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞。百度云安全威胁管理团队联合百度安全应急响应中心第一时间对事件触发应急响应和全网感知,深度分析了漏洞的危害和影响范围。经分析,攻击者利用该漏洞可突破目前广泛使用的依赖SSL和TLS安全加密体系,互联网中有大约1100万站点或者服务受到此漏洞影响。一、Drown跨协议攻击TLS漏洞分析1. 漏洞危害攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包括但不限于用户名和密码、信用卡号、电子邮件、即时消息,以及敏感文件。在一些常见的场景,攻击者还可以冒充一个安全的网站拦截或篡改用户看到的内容。2. 攻击原理DROWN漏洞主要利用SSLv2协议的脆弱性对T
发布时间:2016-03-07 11:15 | 阅读:163468 | 评论:0 | 标签:漏洞 Drown tls

OpenSSL曝出新型漏洞“DROWN”沃通发布安全建议

3月1日爆出OpenSSL最新安全漏洞“DROWN”,SSL证书用户应该如何应对?沃通CA从专业角度给出应对策略。 什么是Drown漏洞 “DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。 “DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。“DROWN”使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持S
发布时间:2016-03-05 02:30 | 阅读:132977 | 评论:0 | 标签:业界 DROWN OpenSSL WoSign CA 漏洞

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云