在保護(hù)機(jī)密信息方面，企業(yè)和黑客之間一直存在著斗爭(zhēng)。無(wú)論規(guī)模大小，數(shù)據(jù)泄露和黑客攻擊都是企業(yè)面臨的問(wèn)題，通過(guò)暴露敏感信息導(dǎo)致巨大的復(fù)雜性。每當(dāng)網(wǎng)絡(luò)安全專家提出預(yù)防性解決方案時(shí)，攻擊者就會(huì)找到另一條路線。一種這樣的新的、鮮為人知的技術(shù)是 SSL 剝離。問(wèn)題是 SSL 剝離攻擊很容易發(fā)起并且極其危險(xiǎn)。

什么是 SSL 剝離？

SSL 剝離是MitM（中間主要）攻擊的一種形式，它利用了加密協(xié)議及其啟動(dòng)連接的方式。這種攻擊規(guī)避了用戶和 Web 瀏覽器之間的安全 HTTPS 連接所提供的安全性，并將以純文本形式交換的流量和敏感信息暴露給竊聽(tīng)者。在暴露敏感信息的同時(shí)，這種攻擊還允許攻擊者操縱正在傳輸?shù)膬?nèi)容。由于它會(huì)降級(jí) SSL/TLS 加密連接，因此也稱為 SSL 降級(jí)攻擊。

SSL剝離攻擊如何工作？

當(dāng)需要安全連接時(shí)，用戶和瀏覽器使用SSL 加密證書，在兩方之間建立加密鏈接。

建立安全連接時(shí)會(huì)執(zhí)行以下操作：

• 用戶使用不安全的 HTTP 請(qǐng)求請(qǐng)求服務(wù)器
• 服務(wù)器通過(guò) HTTP 響應(yīng)并將用戶重定向到 HTTPS（安全連接）
• 安全會(huì)話以 HTTPS 請(qǐng)求開(kāi)始

SSL 加密過(guò)程保證了完整性和隱私性。攻擊者無(wú)法侵入用戶和服務(wù)器之間的安全 HTTPS 連接。

攻擊者在哪里攔截連接

由于初始請(qǐng)求和 HTTP 重定向響應(yīng)是純文本的，因此攻擊者攔截了用戶請(qǐng)求。攻擊者通過(guò)HTTPS 協(xié)議與服務(wù)器建立合法連接并與用戶建立 HTTP 連接，從而充當(dāng)兩方之間的橋梁。攻擊者可以進(jìn)行中間人攻擊。當(dāng)服務(wù)器發(fā)送響應(yīng)時(shí)，攻擊者將其截獲并以未加密的格式發(fā)送給用戶，偽裝成服務(wù)器。

現(xiàn)在它不是一種 1:1 的交流方式。從用戶傳輸?shù)乃袛?shù)據(jù)都將通過(guò)攻擊者的服務(wù)器，而不是直接進(jìn)入合法服務(wù)器。同樣，服務(wù)器響應(yīng)將通過(guò)中間的攻擊者服務(wù)器發(fā)送。由于用戶和服務(wù)器之間沒(méi)有加密通信，因此通過(guò)此連接傳輸?shù)乃邢⒍紩?huì)暴露給所有人，包括攻擊者。大多數(shù)受害者不會(huì)意識(shí)到收到的 URL 是不安全的 HTTP 連接，傳遞的所有敏感信息都將以純文本形式傳輸。

SSL 剝離攻擊成功背后的原因

• 攔截通信的最簡(jiǎn)單方法是使用公共熱點(diǎn)。攻擊者通常會(huì)設(shè)置名稱與合法熱點(diǎn)類似的虛假熱點(diǎn)，并攻擊進(jìn)入惡意熱點(diǎn)的用戶。
• SSL 剝離攻擊的另一種方法是用戶通常不會(huì)在地址欄中輸入完整的 URL，包括 https://。僅鍵入域名為攻擊者向受害者提供 HTTP 鏈接提供了機(jī)會(huì)。
• 許多網(wǎng)站僅將 HTTPS 連接用于登錄和其他重要頁(yè)面，而將其他登錄頁(yè)面留在不安全的 HTTP 連接中以提高性能。
• 用戶和服務(wù)器無(wú)法檢測(cè) SSL 條。假設(shè)他們正在與真正的合法合作伙伴進(jìn)行通信，雙方都不會(huì)懷疑數(shù)據(jù)的完整性。
• SSL 剝離只能在少數(shù)特殊情況下通過(guò)設(shè)計(jì)或技術(shù)細(xì)節(jié)來(lái)識(shí)別。只有少數(shù)跡象表明缺少安全連接。

如何防止 SSL 剝離攻擊？

• SSL 證書用于創(chuàng)建安全站點(diǎn)，但為了最大限度地提高其安全性，您需要加密您網(wǎng)站的所有頁(yè)面，包括所有子域。
• 另一種 SSL 剝離預(yù)防方法是保護(hù)本地網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問(wèn)。實(shí)施強(qiáng)大的Web 應(yīng)用程序防火墻 (WAF)將防止惡意行為者訪問(wèn)本地網(wǎng)絡(luò)并橫向擴(kuò)展以設(shè)置中間人攻擊。
• 多年來(lái)，論壇中列出并通過(guò)垃圾郵件發(fā)送的惡意鏈接一直是攻擊者的默認(rèn)武器。避免點(diǎn)擊您不認(rèn)識(shí)的人的電子郵件。
• 公共 wi-fi 熱點(diǎn)非常適合 SSL 剝離攻擊。避免不安全的 Wi-Fi 點(diǎn)。
• 防止 SSL 剝離攻擊的另一種有效方法是在地址欄中手動(dòng)輸入完整的 URL。
• 一條重要的防線是實(shí)施 HSTS（HTTP 嚴(yán)格傳輸安全）——一種限制 Web 瀏覽器與不安全 HTTPS 連接交互的嚴(yán)格策略。
• 除了執(zhí)行 HSTS 和啟用 SSL 安全連接外，企業(yè)還需要使用 Indusface 提供的 Entrust CMS等證書管理系統(tǒng)來(lái)監(jiān)控和管理證書生命周期、公鑰基礎(chǔ)設(shè)施和證書有效性，以防止不良行為者濫用證書。

結(jié)論

SSL 剝離攻擊利用了用戶沒(méi)有明確請(qǐng)求安全頁(yè)面并依賴 Web 服務(wù)器將他們重定向到所請(qǐng)求網(wǎng)站的安全版本的優(yōu)勢(shì)。大多數(shù)用戶不知道這種攻擊，但通過(guò)使用強(qiáng)大的 SSL 加密連接，網(wǎng)站所有者可以防止自己成為這種 SSL 剝離和 MiTM 攻擊的受害者。