记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

SSL和TLS部署实践指南

在TLS中,所有安全性都以服务器的加密身份开始,这就需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是拥有一个有效和强大的证书,它会授予私钥来代表一个特定的主机名。对于大多数网站都来说,由2048位RSA密钥提供的安全性就已经足够了。 由于RSA公钥算法应用广泛,从而使得它成为安全的默认选择。对于2048位的RSA密钥来说,能够提供大约112位密钥。如果你想要更高的安全性, RSA密钥则不能很好地进行扩展。比如,要获得128位的密钥,就需要3072位的RSA密钥,这显然运行较慢。椭圆曲线数字签名算法ECDSA显示为你提供了更好的安全性和更好的性能。以ECDSA256为例,,ECDSA密钥提供了128位的密钥。如何
发布时间:2019-03-07 12:20 | 阅读:49080 | 评论:0 | 标签:Web安全 SSL TLS

揭密小黑系列:SSL劫持木马的追踪溯源

一、引子 为了应对网络劫持,各大网站都开始启用https协议,使得靠劫持http网站闷声发大财的灰产、黑产们坐不住了,一直在寻找劫持https网站的好用方法。日常工作当中,360互联网安全中心发现了能够劫持https网站的恶意软件样本,该类样本不仅仅将常用的一些网站劫持到特定的网址导航站,还会与安全软件进行对抗。 二、分析 在中恶意软件的机器中,我们发现了二个可疑文件。一个名为“bbgeccv6”的驱动文件和一个名为“yyqg.dll”的动态库文件。 文件HASH值如下: MD5: 62B58CF5BC11B7FC8978088953A7C6FD_ bbgeccv6 MD5: 2F2963BC8B9D0E1CC14601D61222EC77_ yyqg.dll 其中,“bbgeccv6”(文件名随机,HASH
发布时间:2017-09-14 09:00 | 阅读:134947 | 评论:0 | 标签:网络安全 ssl 劫持木马 追踪溯源

网络罪犯开始利用SSL/TLS漏洞实施恶意攻击

公司企业在加密网络流量防护潜在数据泄露方面越做越好,在线攻击者也随之更进一步,用SSL/TLS来隐藏他们的恶意活动。2017年上半年,安全公司Zscaler观测到的所有交易中,平均有60%都是通过SSL/TLS进行的。SSL/TLS使用的增长包含了合法行为和恶意活动两方面——罪犯依靠合法SSL证书散布其恶意内容。平均每天有300次网页漏洞利用包含了作为感染链一环的SSL。Zscaler安全研究高级主管迪鹏·德赛称:“犯罪软件家族越来越多地使用SSL/TLS。过去6个月里,通过SSL/TLS散布的恶意内容翻了2倍多。”Zscaler云平台上,2017年上半年平均每天封锁840万次基于SSL/TLS的恶意活动。被封的恶意活动中,平均每天有60万起是高级威胁。Zscaler的研究人员在2017年上半年里,每天都要见证
发布时间:2017-08-08 15:15 | 阅读:107691 | 评论:0 | 标签:牛闻牛评 SSL 恶意攻击 网络犯罪 漏洞

系统管理员如何快速高效的部署SSL和TLS?

SSL/TLS是一种简单易懂的技术,很容易部署,也很容易运行。不过存在主要的问题是加密不太容易部署,为了确保TLS提供必要的安全性,系统管理员和开发人员必须花费很大的精力来正确配置其服务器并开发相应的应用程序。
发布时间:2017-06-06 17:15 | 阅读:108494 | 评论:0 | 标签:技术 SSL TLS

SSLScan:SSL版本检测与密码套件

项目主页 https://github.com/rbsec/sslscan 简介 sslscan是一个高效的c程序,它允许你检测ssl版本和加密套件(包括TLS),可以检查心脏滴血漏洞和POODLE漏洞。 有效的工具在你设置服务器以检查SSL配置之后可以使用系统更加健壮。特别是当你所处互联网环境有限,不能使用在线工具(如优秀的Qualsys SSL实验室 – https://www.ssllabs.com/ssltest/)时显得特别有用。 特征 sslscan有相当完整的支持来检测SSL和TLS的所有版本和密码,包括漏洞(如Heartbleed和Poodle)。 在输出中突出高亮SSLv2和SSLv3密码。 高亮显示SSLv3(POODLE)上的CBC密码。 在输出中高亮显示3DES和RC4密
发布时间:2016-12-14 14:05 | 阅读:202511 | 评论:0 | 标签:工具 SSL sslscan TSL 密码分析套件

详解https是如何确保安全的?

Https 介绍 什么是Https HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL Https的作用 内容加密 建立一个信息安全通道,来保证数据传输的安全; 身份认证 确认网站的真实性 数据完整性 防止内容被第三方冒充或者篡改 Https的劣势 对数据进行加解密决定了它比http慢 需要进行非对称的加解密,且需要三次握手。首次连接比较慢点,当然现在也有很多的优化。 出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。Firefox默
发布时间:2016-05-01 15:20 | 阅读:112966 | 评论:0 | 标签:技术 https session SSL TCP

SSLyze:快速全面的SSL安全扫描器

SSLyze是一个Python打造的工具,它可以分析我们用于连接某服务器的SSL配置。其设计出来就是为了帮助组织和测试人员,快速发现会影响他们SSL服务器的错误配置。主要特点多进程+多线程扫描:速度会非常快。SSLyze也可以作为库文件,从python直接调用运行扫描和处理结果。性能测试:session resumption和TLS票据支持。安全测试:弱密码套件,不安全的renegotiation,CRIME、心脏滴血攻击。服务器证书检查,通过OCSP stapling进行SSL撤销检查。支持SMTP、XMPP、LDAP、POP、IMAP、RDP、PostGres、FTP协议的StartTLS握手。支持扫描服务器时,用于交互验证的客户端证书。扫描结果可以写入XML或者JSON文件进行进一步
发布时间:2016-03-17 16:35 | 阅读:114052 | 评论:0 | 标签:工具 系统安全 ssl 扫描

90%使用 SSL 的 VPN “无可救药地不安全”

计算机说:“嗷”。一项最新的研究表明,十分之九的 SSL VPN 使用不安全或过时的加密措施,这让企业数据在传输过程中暴露于风险之下。High-Tech Bridge 公司(下文简称 HTB)针对可公开访问的 SSL VPN 服务器展开了一项大规模研究。该公司随机选取了400万个 IPv4 地址,并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问 SSL VPN 服务器。这次扫描揭示了如下几个问题:四分之三(77%)的被测试 SSL VPN 仍旧使用老旧的 SSLv3 协议,该协议自1996年起就已经存在了。此外,大约100台服务器使用的是 SSLv2 。业界认为,这两种协议均不安全,它们长期以来存在多种可被利用的漏洞;四分之三(76%)的被测试 SSL VPN 使用非可信的 SSL 证书
发布时间:2016-03-11 14:20 | 阅读:116258 | 评论:0 | 标签:威胁情报 SSL VPN 加密协议

解密 SSL 流量,发现隐藏威胁

加密传输技术进一步得到应用,一方面保护了个人隐私信息,另外一方面也助长了犯罪行为。随着加密传输技术进一步得到应用,过去的五年中,谷歌、YouTube、推特等大公司使用 SSL 的行为推动了其它互联网企业使用加密连接的热情。加密传输也带来了风险。由于加密信息对第三方不公开,网络罪犯也可以在不引人注意的情况下从事犯罪活动。他们使用传输层安全协议(Transport Layer Security,TLS)和安全套接层协议(Secure Socket Layer,SSL)加密其通信。来自 Palo Alto Networks 公司威胁情报部门的瑞安·奥尔森(Ryan Olson)表示,安全专家主要的担心来自于防火墙无法监控加密通信。网络罪犯对此心知肚明,这迫使很多企业开始研究如何确定要解密的流量,以及其解密方式。瑞安·
发布时间:2016-02-16 23:00 | 阅读:142621 | 评论:0 | 标签:牛闻牛评 SSL 加密通信 安全威胁 网络犯罪

谷歌怒撕赛门铁克SSL证书

在九月出现了赛门铁克子公司Thawte内部测试产生的多个SSL证书。其中一个证书就伪装成了google.com的合法证书,这就意味着它可以用来欺骗浏览器,让浏览器以为该连接是指向谷歌网站服务器的,但其实浏览器却连接到了一个潜在的恶意服务器。 巧克力工厂(Chocolate Factory)发现了这个流氓证书使用了他们的Certificate Transparency项目,从而大发雷霆:谷歌从未允许给Thawte生成证书,被赛门铁克的马虎激怒了。 而Thawte坚持说这个虚假证书从没有流出过实验室,绝对没有外面的任何公司获得过这个证书的副本。 由于担心Thawte的工程师玩弄高度敏感和强大的证书,谷歌要求进行全面的调查。赛门铁克确实发现了23个虚假证书,并且解雇了所有与此事有关的员工,同时还进行了全面的审查。 据
发布时间:2015-10-30 23:10 | 阅读:104762 | 评论:0 | 标签:安全 SSL 谷歌 赛门铁克

面临淘汰的10项安全技术

每一波新技术都会带来新的风险,安全社区必须努力抵御各种攻击。 你最近有没有启用软盘的写保护模式来抵御启动病毒或恶意覆盖?你有没有关闭调制解调器来阻止黑客?你是否上传ansi.sys驱动程序来防止恶意文本文件重新映射你的键盘以让你的下一个按键重新格式化你的硬盘驱动器?你是否有检查你的autoexec.bat和config.sys文件以确保没有恶意条目被插入到自动启动恶意软件? 如果你在计算机安全领域有足够长时间,你肯定看到过各种各样安全技术。现在这个时候,我们可以开始预测哪些技术将会继续改进,哪些技术早晚会过时。攻击和技术的变化速度意味着所谓的尖端防御技术(例如生物特征身份验证和高级防火墙)最终将会消失,本文中让我们看看哪些防御技术将会被淘汰。 面临淘汰的安全技术第1名:生物特征身份验证 生物特征身份验证是确保登
发布时间:2015-10-15 02:10 | 阅读:123291 | 评论:0 | 标签:圈内纪实 安全播报 黑客在线 IPSec SSL 公钥加密 防火墙

Logjam是个什么鬼?

最近两天爆出的“堵塞”(Logjam)漏洞被许多人惊呼,“疯怪”又来了!“堵塞”威胁许多网页服务器和邮件服务器,影响所有主流浏览器以及支持512位迪菲-赫尔曼(Diffie-Hellman)密钥交换协议的服务器。而且,美国国家安全局(NSA)很可能就是利用这个漏洞破解VPN、HTTPS和SSH等协议,以访问相关网络流量的。与“疯怪”类似,堵塞也是通过中间人攻击,给服务器的安全连接降级,但服务器及客户端却仍然认为双方还是使用的强密钥,如768位或1024位。而且,”堵塞“也是一个古老的由TLS传承下来的SSL漏洞。堵塞可以用来把服务器降级到512位的连接,但即使是1024位的素数密钥也能够被国家级的黑客破解,从而达到劫持流量的目的。据研究人员估计,排名前100万的HTTPS域名的连接有18%可被解密,VPN和SS
发布时间:2015-05-21 11:35 | 阅读:91604 | 评论:0 | 标签:动态 安全警报 SlickLogin SSL VPN

黑客利用HTTPS技术开发更多攻击方式

HTTPS协议并不像人们认为的那样安全。戴尔安全最近发现,利用HTTPS注入恶意软件的入侵事件数量正在增加。戴尔安全通过流量探测器抓取了全球HTTPS链接的数量,该数字从2014年一月的1820亿上涨到了2015年三月的4370亿。这意味着,HTTPS方式成为了网络连接的主流,在过去的一年中平均占到总连接数的60%。尽管该数字并未得到其它公司证实,但从SSL/TLS的快速发展情况上也能推断,加密网络链接几乎成为了当今的默认连接方式。不幸的是,犯罪分子也明白这种趋势,他们利用HTTPS技术开发了更多攻击方式。戴尔方面提到的是雅虎公司与恶意广告的斗争,恶意广告是被传输加密的,因此能够绕过任何缺乏SSL检验机制的防火墙。戴尔公司也提到,最近的福布斯事件中,黑客向福布斯网“Thought of the Day”页面注入
发布时间:2015-04-19 00:55 | 阅读:93500 | 评论:0 | 标签:动态 安全报告 HTTPS SSL

SSL:你的网络盲点

本周二,OpenSSL发布“神秘”更新版本,修补了几个安全漏洞,包括一个高危漏洞。之所以称神秘是因为官方并未给出这些漏洞的细节,可能是为了防止黑客了解,也可能是为了给机构留出打补丁的时间。但这个更新则引发了下面的内容: 你无法防护你看不到的地方 如果把网络流量比做公路上的汽车,那么加密流量就如同封闭的无法看到其内部的汽车,检查人员(即防火墙、入侵检测等)无法得知其中隐藏的数据。那么这种情况有多严重呢? 1. NSS实验室一份2013年的报告显示,企业网络流量的25%到35%是SSL加密的。 2. 另一份Palo Alto网络的应用程序及使用风险报告显示,36%的企业流量是加密的。 3. 越来越多的网站要求默认使用SSL。 4. 谷歌最近宣布,要开始帮助使用SSL的网站建立搜索排名。 从去年的心脏滴血到今年的贵
发布时间:2015-03-19 18:30 | 阅读:91644 | 评论:0 | 标签:牛观点 SSL 加密协议

谷歌欲改变SSL警告:用简洁换技术

很多用户看不懂基于浏览器的SSL警告,更别说按警告操作了。谷歌想改变这一现状。它花费数年时间针对人类对警告信号的反应进行跨学科研究,并基于此研发了其最新型浏览器警告。“异议分子、毒贩子和外交官们有一个共同点:他们都依靠SSL帮助保证他们的网上通信是保密的。SSL保护他们的电子邮件、推特和银行对账单在传输过程中免遭窃听或篡改。”--《宾夕法尼亚大学和谷歌的联合研究报告》有意思的是,依据新的研究,SSL警告的有效性几乎与安全无关。事实上,SSL警告需要简单易读倒是愈加确认了——无论是从理解方面,还是从选项设计方面,另外还要提供清晰的操作指南。换句话说,SSL警告需要简单化。这份研究报告的作者们表示,报刊文章要以六年级的阅读水平写就,这样才能使任何人都能看懂那些新闻。SSL警告也应该遵循同样的准则。谷歌这份最新SSL
发布时间:2015-02-09 12:10 | 阅读:99385 | 评论:0 | 标签:web安全 安全报告 牛工具 牛技术 SSL 安全警告

利用phpinfo窃取ssl私钥

介绍 In the last weeks we have spent some time looking into the PHP source code again, because we were working on new versions of Suhosin, our security extension for PHP. During this time we have discovered some security problems in PHP and disclosed them to the PHP security team, after our initial analysis was finished and POC exploits were developed.Unfort
发布时间:2014-07-08 22:09 | 阅读:302980 | 评论:0 | 标签:php phpinfo ssl

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云