對於安全加密通信,傳輸層安全協議(SSL/TLS)的重要性不言而喻。如今的TLS協議不僅被用於傳輸層通訊,更作爲一個標準的加密保護協議被廣泛應用於 FTP, 電子郵件和×××等領域,時刻保護着我們網絡通信的安全。
上週一個新的加密***被披露,它可以攻破加密的TLS流量,允許***者攔截並竊取以前認爲安全可靠的數據。這兩個被披露的新的TLS協議漏洞被命名爲“Zombie POODLE”和“ GOLDENDOODLE(CVE)” 使用Zombie POODLE,能夠在Citrix負載均衡器中恢復POODLE***,與此同時,GOLDENDOODLE是一種類似的***,但具有更強大,更快速的加密******性能。
在Alexa排名前100萬的網站中,約有2000個網站易受Zombie POODLE的***,約1000個網站易受GOLDENDOODLE的***,還有數百個網站仍易受五年前就被曝出的舊漏洞POODLE的***。
此***所需條件:
1 HTTPS服務端使用了CBC密碼套件
2 在被***客戶端和被***服務器之間創建中間人通道MITM,如建立惡意WiFi熱點,或者劫持路由器等中間網絡設備
3 ***者通過植入用戶訪問的非加密網站上的代碼,將惡意JavaScript注入受害者的瀏覽器。
4 惡意腳本構造特定的HTTPS請求加密網站,結合中間人旁路監聽加密數據,多次請求後即可獲得加密數據中的Cookie和憑證。
如何防範與應對?
1、確保全站HTTPS完整性,杜絕引入不安全的外鏈(HTTP腳本資源,尤其是JavaScript腳本) ,可以通過一些SSL站點安全檢測服務(如MySSL企業版)進行不安全外鏈監控;
2、檢查服務器,避免使用RC4和CBC等不安全密碼套件,通過MySSL.com檢測,發現支持的加密套件中避免出現弱密碼和包含CBC的密碼套件;
3、涉及機密或者重要商業數據的系統加強異常狀況監測和巡查,並保持符合HTTPS最佳安全實踐。