记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

无视HTTPS发起中间人攻击

大约十年前,Firesheep制造了一个大新闻。多年来,安全人员已经了解了公共WiFi网络的危害,但直到有人创建了这个用户友好的Firefox扩展插件之后,这个安全问题才得到了人们的关注。从那时起,网络上发生了很多事情,那么这样的事情还有可能再发生吗?TL; DR; 由于HTTPS的存在,MITM攻击目前不再是一个问题。但是,使用CORS,postMessage和其他一些很酷的东西,有时也可以绕过HTTPS。虽然这是网站所有者的错,但受害的却是用户。几年前Firesheep是人们脑海中最重要的东西。在那个年代的网站,比如说Facebook,默认情况下还没有开始使用HTTPS。移动设备(包括笔记本电脑和手机)的急剧增加使得连接到不受信任的WiFi网络变得越来越普遍。八年后的今天,这实际上不再是一个问题。
发布时间:2019-01-25 12:20 | 阅读:106797 | 评论:0 | 标签:Web安全 HTTPS

敏感数据明文传输引发的全新攻击

阅读: 136敏感数据的安全传输是网络安全技术的一个重要的组成部分,但是敏感数据(有且但不限于用户登录账户及密码)明文传输却是一个很常见的漏洞,而这个漏洞因为利用难度大而被评为一个中危风险——绝大多数扫描器或者人工渗透。关于明文传输漏洞的解决方案,众所周知只有https是最佳实践,虽然ssl证书的价格需要考虑,以及https也不是绝对安全的,当遭受中间人劫持攻击的时候也会获取到传输中的明文数据,具体攻击详情见文章《HTTPS连接过程以及中间人攻击劫持》,但是这篇文章也说了,使用中间人攻击手段必须让客户端信任中间人的证书,否则攻击无效。因此这种攻击方式可以放弃,难度大且不方便隐藏攻击。相关链接:https://blog.csdn.net/hbdatouerzi/article/details/71440206文章
发布时间:2018-05-09 15:05 | 阅读:264655 | 评论:0 | 标签:安全分享 https https加密 敏感数据传输 明文传输 网络安全

19年之久的ROBOT漏洞复现 流行网站受害

如果你认为比如Facebook和PayPal之类,受到大众追捧的流行网站就能免受上个世纪的漏洞侵害的话,你就太天真了!研究显示:1998年发现的一个漏洞最近死灰复燃,威胁多种流行网站和在线服务。该漏洞被命名为ROBOT,是丹尼尔·布雷琴巴赫于1998年发现的。ROBOT是个首字母缩写,意思是布雷琴巴赫Oracle威胁重现(Return Of Bleichenbacher’s Oracle Threat)。新版ROBOT是在最近的Facebook漏洞奖励项目中被3名研究人员发现的。12月12日公布了新版ROBOT漏洞细节,但研究人员因此获得的奖金数额并未透露。ROBOT存在于传输层安全(TLS)协议,影响所有主流网站——因为攻击者可解密数据,并用网站的私钥来签名通信。TLS协议用于执行Web加密,而该漏洞就存在于
发布时间:2017-12-19 01:05 | 阅读:148757 | 评论:0 | 标签:威胁情报 HTTPS ROBOT 传输层安全协议 安全漏洞 漏洞

【干货分享】通信安全:IOS客户端证书校验方法

阅读: 54随着移动互联网的发展,互联网应用也在与日俱增,传统的金融行业,如银行的手机银行业务,现在热门的互联网金融企业,其移动应用都在不断的更新,同时,移动客户端的安全性也受到了前所未有的威胁,如盗版app,SQL注入,任意用户密码重置等漏洞,但这些漏洞的进一步利用很多情况下都依赖于中间人攻击,也就是客户端与服务端进行通信时未采用安全的https方式进行通信,而是采用不安全的http方式进行通信。本文就https基于SSL安全传输中相关问题进行了探索研究,以便在以后的客户端安全测试当中有一定的帮助。由于移动互联网发展起始时间比较晚,开发人员也是近几年才发展起来,所以对于技术的水平也参差不齐。很多开发人员在开发初期都进行了比较安全的设计,但是在实现的时候没有很好的发挥其功能,特别是威胁比较大的SSL证书校验。有
发布时间:2017-09-22 23:35 | 阅读:188678 | 评论:0 | 标签:安全分享 app安全 ios app证书校验 https https 原理 https证书校验 IOS ios ssl

“未来密码”——OpenSSL中国行报名全面开启

首先,“名词解释”环节必不可少~OpenSSLOpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均使用OpenSSL开源项目。作为一个全球性的开源项目,由OpenSSL团队主要负责开发、维护。未来密码本次OpenSSL团队来华交流,除介绍OpenSSL项目中已实现的加密形式、算法外,还将与中国的开发者群体共同探讨“量子加密”“后量子时代的密码学”等行业前沿议题,探索“未来密码”,解锁未来互联网的无限可能。其次,这次来的可是响当当的主力阵容~~1. Steve MarquessOpenSSL创始人之一,管理委员会成员,OpenSSL团队“大管家”,毕业于约翰霍普金斯大学,美国国防部前顾问,目前作为董事长和CEO运营Veridical Systems公司,为美国国防部提供咨
发布时间:2017-09-21 02:15 | 阅读:127994 | 评论:0 | 标签:活动集中营 HTTPS OpenSSL 后量子时代 密码学 白山云

使用Go和Let’s Encrypt证书部署HTTPS

HTTPS的好处我们已在之前的文章中提高好多。它加密浏览器和服务器之间的流量,保障你密码传输的安全,让你的页面加载速度飞快,有助于网站的SEO优化还有对HTTP网站百般嫌弃的浏览器厂商……这些都是使用HTTPS的理由。那么问题来了,怎样可以又快又好地部署HTTPS呢? 使用第三方提供的HTTPS 比如说CloudFlare,他们的免费方案为你那仅支持HTTP的网站提供仿HTTPS代理服务。 要使用CloudFlare: 配置你的域,使用CloudFlare的DNS服务器 在CloudFlare的DNS设置中,将域指向你的服务器,并通将“状态”设为“DNS和HTTP代理服务器(CDN)” 在CloudFlare的加密设置中,将SSL设为“灵活”(该选项使浏览器通过HTTPS与Cloud
发布时间:2017-07-17 15:50 | 阅读:130032 | 评论:0 | 标签:工具 HTTPS SSL证书 网站加密

另类追踪之被“策反”的安全机制

* 原创作者:ArkTeam/Hey-x1,本文属FreeBuf原创奖励计划,未经许可禁止转载 Web安全一直是互联网用户非常关心的话题,无论是国际互联网组织还是浏览器厂商,都在尽力使用各种策略和限制来保障用户的信息安全。然而,这种好的出发点,却极可能被心怀不轨的人利用(即被“策反”),来对用户进行追踪,带来更多的隐私泄露问题和其他的安全隐患。 一、首先,介绍两个安全机制 (1)HTTP严格传输安全HSTS HSTS(HTTP Strict Transport Security)[1],是国际互联网工程组织正在推行的Web安全协议,其作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接,用来抵御SSL剥离攻击。    图1 HSTS原理图 如图所示HSTS运作原理图,对其进行拆解: 1
发布时间:2017-04-22 11:35 | 阅读:145874 | 评论:0 | 标签:WEB安全 https 浏览器

利用Hook技术实现浏览器HTTPS劫持

* 原创作者:浪子_三少,本文属FreeBuf原创奖励计划,未经许可禁止转载 现在很多网站都使用了 https 的方案,保证了传输中的数据不被修改或者被第三方封包软件看见,但是由于https有一些隐含的缺陷或者服务器验证的不严格,https被劫持的可能性存在,就像之前出现了”净广大师”病毒劫持https,往百度搜索里插入广告id,他使用的方法就是中间人攻击,强行插入自己的证书实现解密https,今天我们介绍一种浏览器劫持的方法实现https劫持,现在我们就开始分析去找到浏览器中https加密的入口。 (一)分析方法 首先我们打开浏览器(注意:这里涉及的浏览器的名字都会被隐去),输入baidu.com,在baidu里输入666666 我们可以看到baidu搜索时浏览器地址栏里,baidu的网站使用的是htt
发布时间:2017-04-10 12:35 | 阅读:172177 | 评论:0 | 标签:WEB安全 https 浏览器

HTTPS检测工具可能会弱化安全

美国计算机应急响应小组(US-CERT)警告:很多拦截HTTPS流量的安全产品都没有很好地验证证书。 使用安全产品检测HTTPS流量的公司,可能无法避免地弱化了其用户加密连接的安全性,将用户暴露给中间人攻击。 US-CERT是美国国土安全部(DHS)下属机构,在最近的一次调查过后发布了一份咨询公告,称HTTPS检测产品并不能完全反映出客户端和服务器间原始连接的安全属性。 HTTPS检测会核对来自HTTPS站点的加密流量,确保不含有威胁或恶意软件。该过程通过拦截客户端到HTTPS服务器的连接来实现,会以客户端的名义创建连接,然后用本地产生的证书对发送给客户端的流量再次加密。做这项工作的产品基本上都相当于中间人代理。 典型企业环境中,HTTPS连接甚至能被拦截并重加密多次:在网络边界被网关安全产品或数据泄露预防系
发布时间:2017-03-24 06:40 | 阅读:109515 | 评论:0 | 标签:牛闻牛评 HTTPS 链接拦截

卡巴斯基反病毒产品现漏洞 可被中间人攻击

研究者发现,基于脆弱的32位签名的证书验证机制很容易受到不同站点相同签名的碰撞影响。 卡巴斯基实验室近期更新了反病毒产品,本次更新修补了致使用户易受流量劫持的漏洞。 谷歌的漏洞研究员塔维斯·奥尔曼迪最早发现这一漏洞,该漏洞存在于卡巴斯基杀毒软件用来检测加密链接内的潜在威胁时所用的SSL/TLS流量检测功能里。 和其他终端安全产品一样,卡巴斯基会在电脑上安装一个自签名的CA根证书,并用它延伸出的“叶”证书进行拦截访问,从而对用户访问的所有https可用的站点授予证书。这允许杀毒软件对本地浏览器和远程服务器之间的链接进行加/解密操作。 奥尔曼迪发现,每当卡巴斯基的反病毒产品生成一个拦截证书时,它会基于网站提供的原始证书序列号生成一个32位的密钥并缓存这一对应关系。而这一机制使得当用户再次访问同一网站时,杀毒软件会
发布时间:2017-01-11 01:30 | 阅读:149146 | 评论:0 | 标签:威胁情报 HTTPS 中间人攻击 卡巴斯基 反病毒 密钥 数字证书 漏洞

“净广大师”病毒HTTPS劫持技术深度分析

一、背景 近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,并攻破HTTPS的“金钟罩”,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。且该病毒驱动在”净广大师“卸载后仍然会持续加载并劫持百度搜索流量,行为及其恶劣。 我们曾在此前报告(“净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利)中进行过病毒简述,本文中我们将对“净广大师”病毒进行详细分析。 二、 样本分析 在“净广大师”安装过程中,我们注意到“AdAnti.exe”进程在系统驱动目录下释放了一个隐藏的文件名为“rtdxftex.sys”的驱动。如下图所示: 图2-1、“净广大师”安装过程 该驱动是“AdAnti.exe”从“净广大
发布时间:2016-12-24 04:40 | 阅读:298628 | 评论:0 | 标签:终端安全 https

绕过混合内容警告 – 在安全的页面加载不安全的内容

来源链接:https://www.brokenbrowser.com/loading-insecure-content-in-secure-pages/ 原作者:MagicMac 译:Holic (知道创宇404安全实验室) 前言 毋庸置疑,当今网络正在向 HTTPS(安全)内容发展。重要的域名现在他们已经将证书准备好了,他们的站点应该是有效且安全的。但是你是不是很好奇:到底能安全到何种程度?显然,通过 HTTPS 提供的内容是可以抵御中间人攻击(MITM),网络嗅探/篡改等方面的攻击的。但是你有没有想过, HTTPS 协议是否保护终端用户免受其他方面的威胁?答案显然是肯定的。 如我们所知,攻击者目前使用了广泛的渠道提供他们的恶意 payload ,恶意广告便是其中之一。他们购买廉价的广告空间展示显眼的广告,但
发布时间:2016-11-17 15:20 | 阅读:193063 | 评论:0 | 标签:Web安全 HTTPS IE/Edge 加载不安全内容 绕过混合内容警告

这四位谷歌美女安全研究员决心颠覆Web安全观

去年8月,谷歌Chrome浏览器安全团队负责人帕里莎·塔布里兹,为展现团队精神而给她的团队成员定制了时尚运动衫,上面醒目印着“Department of Chromeland Security (Chrome安全部)”字样,以及在用户访问不安全网站时Chrome给出的警告标志:一把画了个“X”的红色挂锁。 但几天后塔布里兹团队成员安德莲娜·波特·菲尔特穿上那件运动衫时,她妹妹看着那个矩形上挂个弧形的小锁图标很天真地问:为什么运动衫上要印个红色钱包啊?对塔布里兹的团队而言,网上普通人都能分辨出钱包和挂锁符号的错误假设,代表着现代浏览器的一个基本问题。 塔布里兹的团队负责帮助数十亿人评估所访问网站的安全性,但却只有一个迷样难猜的图标来区分锁定连接的加密网站与不受保护的网站——后者可致用户面临威胁侵害,或者被星巴克隔
发布时间:2016-11-08 01:30 | 阅读:137866 | 评论:0 | 标签:牛闻牛评 chrome HTTPS WEB安全 谷歌

亚洲诚信与腾讯云达成战略合作 携手共建安全云生态

9月27日下午,亚洲诚信与腾讯云的“自动化SSL证书”战略合作签约仪式在上海举行。亚洲诚信CEO翟新元与腾讯云合作业务总经理彭艳萍代表双方签署了战略合作协议书,赛门铁克大中华区总裁陈毅威(Alan Chan)作为亚洲诚信的战略合作伙伴见证了双方的签约。 根据协议,双方将联合推出“云SSL证书申请与管理”的一站式自动化服务。此项服务可以让腾讯云的用户零成本申请SSL数字证书,并一键将HTTPS加密部署到产品中,帮助用户实现网站和应用全站HTTPS加密,为用户的数据安全保驾护航。对于安全级别要求更高的企业用户,此方案同时提供了一键升级到赛门铁克全系列的企业级SSL证书。 “数据安全问题不仅仅出现在云端,而是出现在整个网络,尤其在大数据、人工智能走向普及的今天,网络流量劫持层出不穷,信息数据监听盗取也愈演愈烈,其中
发布时间:2016-09-29 03:50 | 阅读:126981 | 评论:0 | 标签:行业动态 HTTPS 亚洲诚信 腾讯云

为什么谷歌对HTTPS的爱将永久改变互联网

谷歌想让大家都抛弃非加密Web连接,Why?网站用加密的https前缀真的那么重要吗? 直到最近,大家都觉得只有那些需要访客登录的网站,比如购买产品或服务,或者访问隐藏内容的,才需要用https。但近几年,https连接(使用安全套接字层(SSL)协议或其更佳继任者传输层安全(TLS))快速在互联网上铺开,原因很多,不单纯是为了保护电子商务交易。 然而,谷歌最近又在这份原因列表中增加了一笔:将于2017年1月推出的Chrome版本56中,非https网站将在谷歌浏览器地址栏中被标记为“不安全”。 谷歌很久以前就在推行https安全,因而这次的举动,不过是其提升互联网安全总体规划的最新一步而已。 标记会很明显,肯定会使未使用https的网站蒙羞。第一批这么标记的,将是传输口令或信用卡的https网站——尽管谷歌
发布时间:2016-09-25 03:55 | 阅读:108430 | 评论:0 | 标签:牛闻牛评 HTTPS 安全连接 谷歌

wyproxy:基于mitmproxy,支持HTTP/HTTPS, Socks5的代理

项目主页 https://github.com/ring04h/wyproxy 简介 HTTP/HTTPS, Socks5代理服务器, 并可以将网络请求记录保存到后台数据库,帮助安全测试人员更加便捷的发现(客户端/APP/网页)中隐藏的接口或资源。同时支持流量handle回放数据功能,在HTTP Header中插入 移动/联通/电信 营业厅的免流量域名头, 实现免流量代理上网。 支持场景 iPhone App iPad App Mac OS X App Android APP 帮助说明 记录字段如下 method (HTTP/HTTPS/OPTIONS) scheme (http/https/ftp) host (www.wuyun.org) port (80/8080) url (https://w
发布时间:2016-09-15 14:10 | 阅读:483106 | 评论:0 | 标签:工具 http HTTPS mitmproxy socks5 wyproxy 代理

新手教程:如何使用Burpsuite抓取手机APP的HTTPS数据

* 本文原创作者:smartdone,本文属FreeBuf原创奖励计划,未经许可禁止转载1.所需条件· 手机已经获取root权限· 手机已经成功安装xposed框架· 电脑一台2.详细步骤2.1 在手机上面安装xposed JustTrustMeJustTrustMe是一个去掉https证书校验的xposed hook插件,去掉之后就可以抓取做了证书校验的app的数据包。JustTrustMe在github的地址位: https://github.com/Fuzion24/JustTrustMe安装好模块之后勾选JustTrustMe模块,然后重启手机 2.2 配置burpsuite打开burpsuite,切换到Proxy,然后切换到下面的Options选项,然后点击add,然后配置好端
发布时间:2016-09-13 13:35 | 阅读:180050 | 评论:0 | 标签:新手科普 终端安全 Android burpsuite https

mix_proxy:http+https代理拦截数据包

*作者:range@ArriSec *MottoIn原创稿件 前言 HTTP和HTTPS混合代理,这个代理保留了content_deal函数,通过这个函数,可以保存所有的请求,或者在这个函数里面处理所有请求。 同时,还保留了res_deal函数,通过这个函数可以编辑返回的http包,这里编辑的包是http返回包,str类型。 使用 由于可以走https流量,所以肯定要本地生成个:openssl req -new -x509 -days 365 -nodes -out key.crt -keyout key.pem如果中间f12中有任何飘红的现象的话,基本就是https证书不被信任的原因。点击进去,信任就好了。 运行 python mix_proxy.py (default 127.0.0.1) port py
发布时间:2016-08-16 05:35 | 阅读:186042 | 评论:0 | 标签:工具 http HTTPS mix_proxy 代理 代理拦截数据包 数据包 混合代理 证书

毒代理——绕过HTTPS和VPN黑掉你的在线身份

研究人员证明,代理设置漏洞暴露 HTTPS URL,黑客可肆意发起攻击。该漏洞影响绝大多数操作系统和Web浏览器,可被用于渗漏 HTTPS URL 及进行各种恶意活动。该攻击依赖于代理自动配置(PAC)文件,也就是指定Web浏览器和其他用户代理如何处理HTTP、HTTPS和FTP流量的文件。PAC文件使用名为FindProxyForURL的JavaScript函数,确定URL是直接获取还是通过代理服务器获取。该PAC文件的位置,可被系统使用Web代理自动发现(WPAD)协议,通过DHCP或DNS自动检测到。微软Windows系统和IE浏览器默认开启了此项功能,OS X 和Linux操作系统,以及Chrome、Safari和火狐浏览器也支持。WPAD常被公司企业用于确保他们所有系统都有统一的Web代理配置。以色列
发布时间:2016-08-03 14:35 | 阅读:126297 | 评论:0 | 标签:威胁情报 HTTPS 代理

【安全预警】Forbidden attack:7万台web服务器陷入被攻击的险境

最近,根据某国际安全小组的研究表明,金融巨头Visa旗下部分受HTTPS保护的网站最近被发现了一种漏洞,它的存在可以让黑客注入恶意代码,访客浏览器将会访问到恶意内容。加密重用造成的Forbidden Attack据统计,受影响一共有184台服务器,其中部分属于德国证券交易所(Deutsche Börse)和波兰银行协会(Zwizek Banków Polskich),它们被发现容易受到某加密技术漏洞的攻击,我们称之为“Forbidden Attack”。此外,还有7万台web服务器被发现存在风险,虽然实际执行攻击会比较困难。这些数据来自于1月份的全网扫描,当时Deutsche Börse就修补了这个漏洞。但是在上周三的时候,研究人员发现Visa和Zwizek Banków Polskich的漏洞似乎仍然存
发布时间:2016-05-30 15:45 | 阅读:99026 | 评论:0 | 标签:漏洞 Forbidden attack https

详解https是如何确保安全的?

Https 介绍 什么是Https HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL Https的作用 内容加密 建立一个信息安全通道,来保证数据传输的安全; 身份认证 确认网站的真实性 数据完整性 防止内容被第三方冒充或者篡改 Https的劣势 对数据进行加解密决定了它比http慢 需要进行非对称的加解密,且需要三次握手。首次连接比较慢点,当然现在也有很多的优化。 出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。Firefox默
发布时间:2016-05-01 15:20 | 阅读:127450 | 评论:0 | 标签:技术 https session SSL TCP

加密全球Web的计划正在变成现实

苹果对iPhone的加密,WhatsApp端到端加密消息传送的登台亮相,在引无数隐私倡导者欢呼的同时,也激发了很多司法论战。你方唱罢我登场,真叫个喧嚣闹腾。但有一个小小的非营利性项目,却静悄悄地提出了一个加密整个全球Web的计划。而且,居然看起来还挺实用。 本周早些时候,位于旧金山的互联网安全研究小组(ISRG)宣布:“我们加密吧( Let’s Encrypt )”计划走出测试版,在帮助全球无数不安全HTTP站点转向HTTPS上迈出重要一步,让你的Web浏览不再被人窥视。若没有HTTPS加密层,普通HTTP连接可被浏览器和站点之间的任何人窃听,或许是同一个Wi-Fi网络里的黑客,或许是你的互联网服务提供商,或许是某个政府机构。自6个月前启动以来,Let’s Encrypt计划已
发布时间:2016-04-16 22:00 | 阅读:91575 | 评论:0 | 标签:行业动态 HTTPS Let‘s encrypt 加密

315晚会曝光通信安全隐患 阿里云将推HTTPS加密服务

近日央视315晚会再次将公共WIFI当中的风险暴露在所有人面前,这让很多人感到非常不安。而解决这一威胁的终将是更安全的技术。阿里云今天宣布,将在4月份对外推出HTTPS加密解决方案,帮助每一个企业,在用户访问APP及网站时加强安全链接,保障中间传输的信息不会被他人劫取,提高服务的安全性,防止用户的财产和隐私受到侵犯。据悉,阿里云提供全链路 HTTPS封装的分布式服务,旗下负载均衡、CDN、DDoS高防,Web应用防火墙等产品全面支持HTTPS技术,全方位保护云上企业的数据传输安全。同时,阿里云还将联合国内外知名CA证书厂商,在阿里云平台上提供服务器数字证书,企业用户可以在云平台上直接购买所需类型的数字证书,并可一键部署至所有云产品,以最低的成本和最便捷的操作将所持服务从HTTP转换成HTTPS。315晚会不仅上
发布时间:2016-03-17 23:40 | 阅读:108887 | 评论:0 | 标签:行业动态 HTTPS 物联网安全 加密

OpenSSL高危漏洞:允许黑客解密HTTPS通信流量(CVE-2016-0701)

OpenSSL加密代码库的维护者们宣布修复了一个高危漏洞。该漏洞能让黑客获取在HTTPS和其他安全传输层,对加密通信进行解密的密钥。OpenSSL漏洞细节当各种条件满足时,该漏洞就可以被利用。首先,这个漏洞存在于OpenSSL v1.0.2。依赖它的应用,必须是使用数字签名算法生成基于DH密钥交换的临时key。默认情况下,该类服务器将复用相同的DH私钥,这会让它更易受到密钥覆盖攻击。基于DSA的DH(Diffie Hellman)配置(依赖于静态DH加密套件),也是会受影响的。幸运的是,许多主流应用的配置并不是OpenSSL+基于DSA的DH。比如Apache服务器,就开启了SSL_OP_SINGLE_DH_USE选项,这会使用不同的私钥。由OpenSSL衍伸出的BoringSSL 代码库,在几月前抛弃了对SS
发布时间:2016-02-02 00:45 | 阅读:124640 | 评论:0 | 标签:WEB安全 数据安全 漏洞 https openssl 加密流量

移动APP存重大安全隐患,用户数据未启用HTTPS加密

前言         刚刚过去的2015“双十一”,天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远超PC端交易规模。这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止,以天猫为代表的在线购物市场及以携程为代表的在线旅游市场,都出现移动端交易量快速增长的趋势。         移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患。沃通CA针对一些热门APP检测的综合结果显示,90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面,98%不校验证书链和证书签发者,甚至不验证证书域名是否匹配。本文以主流在线购物和在线旅游APP的检测结果为例,从用户数据传输安全角度,探讨
发布时间:2015-11-30 14:50 | 阅读:112374 | 评论:0 | 标签:安全 https 移动APP 加密 移动

专访CrowdStrike: 从“超级大炮”看中国的网络作战和防御能力

在本次黑帽大会上众多演讲中, 有一个演讲是与中国相关的。 两个来自CrowdStrike的安全研究人员Adam Kozy和Johannes Gilger从学术和技术的角度研究了前一段炒的沸沸扬扬的所谓中国的网络武器“超级大炮”。 在演讲中, 他们对超级大炮进行了溯源和代码分析, 并且分析了国内网站的一些普遍的安全缺陷。 会后, 安全牛的记者采访到了演讲者之一的Adam Kozy, 请他就从一个国外安全研究人员的角度谈一谈中国的网络作战和防御能力等话题。 下面是采访的节选:安全牛(安):Adam, 首先感谢您接受安全牛的采访, 作为一家中文的媒体, 您在黑帽大会上对中国网络安全的分析的视角对我们来说是独特的。 很高兴能有机会与您交流。Adam:确实很高兴。 我是安全牛的粉丝。 我们对中国的网络安全媒体和信息平台也
发布时间:2015-08-14 22:50 | 阅读:108251 | 评论:0 | 标签:Black Hat 2015 动态 热点 CrowdStrike hsts HTTPS 网络战争 超级大炮

@余弦 陌生网络里的恐惧(终篇)

未知攻,焉知防,如果不实战实战怎么能知道这个世界有多邪恶。 赶紧把终篇写完,终篇就是教你如何防御。关于「陌生网络里的世界」系列文章,可以回复 h,点开目录链接,可以看到历史文章列表(有相关标注)。 我前段时间有篇文章是「我需要的安全路由器」,不过这是比较理想的情况,而且你加入的网络并不都是安全路由器,有的时候加入陌生网络也并非你的本意,反正那些都是陌生的、未知的,这样才可怕,你根本不知道攻击者在哪、攻击何时发生、攻击类型是什么… 越了解网络攻击,我们就能越好对抗,我下面会给大家简单描绘下陌生网络里的各种攻击,以及我们该如何防御。我已经不管你是否都能看得懂,只希望因为此文,你被攻击的成功率能有所降低。 好,简单描绘开始。 ARP 防御 我之前多篇文章都提到过 ARP 攻击,这是大多数陌生网络里最常见的
发布时间:2015-06-29 06:05 | 阅读:105816 | 评论:0 | 标签:技术 apr https VPN 余弦 陌生网络

林鹏:只会说“HTTPS=安全”的都不懂安全

2014年伊始,由于国家政策转向利好,互联网金融尤其是P2P网络借贷产品呈现爆发式增长,许多一直关注互联网金融而又害怕政策风险的企业和金融巨头纷纷进入,推出自己的P2P网贷产品。 不过在这类产品风生水起时,安全也成了一个避不开的话题。《北京商报》2014年报道称,几乎多数P2P平台都遭受过黑客的攻击,只不过不少攻击并未曝光,其统计至2013年末公开数据显示,有70家P2P平台因遭遇黑客袭击而关门。 如何保护用户资金以及数据安全,保障对外服务的高可用性,成了横亘在P2P网贷乃至互联网金融从业者心头的大难题。本期笔者邀请到2015 乌云白帽子大会的演讲嘉宾lion_00,来分享他的从业经验。 lion_00本名林鹏,其曾先后在酷六、当当、网信金融任职,负责过酷六的内网信息安全、当当和网信金融的公司整体安全。2015
发布时间:2015-06-26 20:05 | 阅读:154739 | 评论:0 | 标签:业界 https 乌云白帽子大会 安全 林鹏

HTTPS-Only标准:美国所有政府网站将使用HTTPS加密

美国政府发布一项计划,HTTPS将成为公共网站联邦安全标准,其目标是到2016年12月31日,让美国联邦政府所有网站都使用HTTPS加密。美国人民希望政府网站是安全的,并且他们在这些网站的访问是作为隐私被保护的。HTTPS协议用当今的因特网技术为公共网络连接提供了最强的隐私保护。HTTPS的使用降低了用户在使用政府在线服务时被截获和被修改的风险。这个建议的动机,"HTTPS-only标准",会要求所有可公开访问的联邦网站和网络服务使用HTTPS。目标所有可公开访问的联邦网站和web服务[1]只通过一个安全的连接提供服务。目前公共网络连接可用的最强的隐私保护就是HTTPS协议。背景未被加密过的HTTP协议不能避免数据被截获或者修改,会导致用户窃听,追踪以及修改收到的数据。许多商业组织已经采用了
发布时间:2015-06-12 18:50 | 阅读:123837 | 评论:0 | 标签:WEB安全 视频 https 加密

黑客利用HTTPS技术开发更多攻击方式

HTTPS协议并不像人们认为的那样安全。戴尔安全最近发现,利用HTTPS注入恶意软件的入侵事件数量正在增加。戴尔安全通过流量探测器抓取了全球HTTPS链接的数量,该数字从2014年一月的1820亿上涨到了2015年三月的4370亿。这意味着,HTTPS方式成为了网络连接的主流,在过去的一年中平均占到总连接数的60%。尽管该数字并未得到其它公司证实,但从SSL/TLS的快速发展情况上也能推断,加密网络链接几乎成为了当今的默认连接方式。不幸的是,犯罪分子也明白这种趋势,他们利用HTTPS技术开发了更多攻击方式。戴尔方面提到的是雅虎公司与恶意广告的斗争,恶意广告是被传输加密的,因此能够绕过任何缺乏SSL检验机制的防火墙。戴尔公司也提到,最近的福布斯事件中,黑客向福布斯网“Thought of the Day”页面注入
发布时间:2015-04-19 00:55 | 阅读:107508 | 评论:0 | 标签:动态 安全报告 HTTPS SSL

ADS

标签云