在網絡安全事件頻發的時代,部署HTTPS已是大勢所趨。信息社會,我們離不開網絡,如果有一天你打開網頁,你會發現地址欄出現一把“綠色小鎖”,網址鏈接中的“HTTP”也被綠色的“HTTPS”所取代。那麼,由HTTP變成HTTPS就安全了?加個“S”就是“Superman”了嗎?
答案顯然是否定的,首當其衝的就是漏洞問題。比如近期突然再度爆發1998年時發現的TLS“ROBOT”漏洞,“ROBOT”存在於傳輸層安全(TLS)協議,波及主流網站:Facebook、PayPal、F5、Ctrix及思科等都確認受到影響。因爲攻擊者可解密數據,並用網站的私鑰來簽名通信。TLS協議用於執行Web加密,而該漏洞就存在於處理RSA加密密鑰的算法中。
攻擊使用專門構造的查詢指令,以非“是”即“否”的應答的形式,在TLS服務器上產生錯誤。該技術被稱爲自適應選擇密文攻擊。這些服務器通過解密HTTPS流量,負責保護用戶瀏覽器與網站之間的通信。如果攻擊成功,攻擊者可被動監視並記錄流量,利用該漏洞,中間人攻擊也是可以執行的。
這也就意味着,攻擊者可以通過簡單的暴力攻擊來猜測會話密鑰,並解密TLS (HTTPS)服務器和客戶端(瀏覽器)之間交換的所有HTTPS流量信息。
針對此次再度死灰復燃TLS“ROBOT”漏洞,亞洲誠信自主研發的HTTPS最佳安全實踐檢測系統MySSL.com在第一時間發佈了對應的檢測工具,以便用戶可以隨時檢測到其網站是否受到攻擊。
檢測網站:https://myssl.com/robot_detect.html
更多詳細內容請查看MySSL.com相關博客:https://blog.myssl.com/robot-attack-detect
