什么是 SSL 剥离以及如何避免它?

已发表: 2021-10-07

SSL 剥离,也称为SSL 降级攻击,简单来说就是高科技的、未被发现的窃听。

SSL 剥离攻击的目标始终是在受害者没有意识到的情况下终止安全通信。 这都是关于数据收集和操作的。

SSL 剥离允许攻击者将您的连接从安全的 HTTPS 降级为不安全的 HTTP。 这反过来又使您容易受到监视和数据操纵。

它有点类似于窃听,只是更具技术性。

然而,窃听和 SSL 剥离都有一个“中间人”——窃听者。 在这种情况下,是黑客创建了一个代理服务器来拦截受害者计算机的流量并将其重新路由到他们的计算机。 然后,他们可以使用截获的信息来做他们想做的任何事情。

用户通常不会意识到他们的信息正在或已经被泄露,因为他们最终会看到一个与他们正在搜索的页面几乎相同的页面。

这就是 SSL Stripping 欺骗用户相信他们的连接是安全的并且他们的数据被加密的方式,但是连接实际上是不安全的并且数据以纯文本形式发送,因为加密会被从中剥离。 这就是它被称为 SSL 'strip' 的原因。

SSL 剥离如何工作?

SSL Stripping 蓬勃发展。 如果没有三个必需的实体,攻击就不会发生。

必须有:

  • 受害者系统
  • 一个安全的网络服务器
  • 攻击者系统

有了这三个部分,欺骗之轮开始旋转。

这是一个例子。

 Jane 试图通过启用 HTTPS 的安全网站购买一双鞋。
John - 黑客 - 意识到了这一点,并想要捕获通信并查看 Jane 的机密信息。 想想信用卡号、密码等。
为此,约翰通过与受害者建立联系,将自己置于交易的中间。 这会切断 Jane 与安全服务器的通信。
简不知道发生了什么,继续购物; 找到她喜欢的鞋子,然后通过在她的浏览器上请求银行网站来付款。
然而,请求会发送给 John,后者将其转发到实际银行站点的服务器。
Web 服务器将响应发送给 John,认为它是 Jane- 以 HTTPS URL 的形式。
然后,John 继续使用他的编码技能将安全的 HTTPS URL 降级为不安全的 HTTP URL,并将其传递给 Jane,而 Jane 对后台发生的事情一无所知。
因为约翰的攻击成功了,简发送的任何信息都不再加密。 这使约翰可以完全访问她的密码、信用卡详细信息、家庭住址等。

请注意,John 的信息在攻击期间从未受到损害,因为他与网站的通信受 SSL 保护。

这个过程可能看起来很长而且很耗时,但启动成功的 SSL Stripping 攻击只需要几分钟。

如何防止您的网站进行 SSL 剥离

检测受损页面很困难。 这就是 SSL Stripping 如此危险的原因之一。 但是,可以采取许多步骤来保护您的网站免受攻击。

以下是防止 SSL 剥离攻击的三种方法。

  • SSL证书
  • 高铁
  • HSTS 预加载列表

SSL 证书

了解什么是 SSL 证书将更清楚地了解它们如何帮助抵御攻击。

SSL 证书是小型数据文件,用于检查网站的身份并对发送到服务器的信息进行加密。 当您在 Web 服务器上安装 SSL 证书时,它会激活安全挂锁图标https协议,允许从 Web 服务器安全连接到浏览器。

高铁

HTTP 严格传输安全或 HSTS 通过指示您的计算机浏览器仅通过 HTTPS 连接来提供更高级别的安全性。 它还要求您的计算机在未加密的情况下永远不要使用 HTTP 进行连接。

通过执行这两件事,HTTS 可确保在您的浏览器上发起的 SSL 剥离攻击不会成功。

然而,HTTS 并不是抵御 SSL 剥离攻击的防弹方法。 如果您在第一次访问网站时已经受到攻击,那么追溯使用 HTTS 可能没有用。

出于这个原因,建议您将事情提高一个档次,这将我们带到第三个

方法 – 使用 HSTS 预加载列表。

HSTS 预载列表

HSTS 预加载列表是仅使用 HTTPS 连接的网站的全球清单。

它为您的网站提供了另一个级别的安全性,并敦促网站所有者在列表中进行自我教育,以及如何保护他们的网站免受 SSL 剥离攻击。

必须设置 HSTS 预加载列表,以便为所有 HTTPS 请求在基本域上提供 HSTS 标头。

然后它会向所有浏览器指示该站点只能在 HTTPS 协议下加载。 拒绝所有其他变体。

换句话说,如果浏览器检测到 HTTP,HSTS 预加载列表的工作原理是拒绝连接到网站。

普通用户可能无法判断网站是否使用 HSTS、HSTS 预加载列表或其他弱点。

由于这些原因,建议您考虑进一步、更安全的隐私保护选项,例如:

  • 通配符 SSL 证书
  • 虚拟专用网
  • 教育

通配符 SSL 证书

有不同的 SSL 证书类型。 通配符 SSL 是一种类型。 他们能够在单个证书上保护无限的子域。 它提供了一个额外的安全层,并且可以通过同时购买来添加到 SSL 证书成本中。 对于托管或管理同一域中存在的多个站点或页面的任何人来说,这是一个很好的解决方案。

虚拟专用网

虚拟专用网络或 VPN可以通过切断中间人来轻松防止SSL 剥离攻击

当用户与攻击者共享一个公共网络时,攻击最有可能发生。 但由于 VPN 会加密并保护安全 VPN 隧道内的所有互联网流量,黑客不会知道您在同一网络上,从而防止攻击。

VPN 安全性减少或完全消除了不断检查 HTTP、HTTPS、锁定符号或其他任何东西的需要。 用户名、密码和其他机密信息受到其他用户的保护。

教育

教育对于理解和避免 SSL 剥离至关重要。

以下是一些用户可以采取的基本预防措施,以避免成为 SSL 剥离的受害者。

  • WiFi :有时会出于其他看似合理的原因使用公共 Wi-Fi 来节省数据。 但是,应避免使用公共 Wi-Fi,尤其是在发送敏感信息时。
  • HTTPS Everywhere:这是一个浏览器扩展,它强制浏览器只通过 HTTPS 网站发送信息。 应鼓励用户下载它。
  • HTTPS :将 https 作为 URL 的一部分键入似乎是在浪费时间,但这是一件大事。 即使您没有输入,请确保在单击它之前出现这五个字母。
  • 链接: 汉化不能点击。 如果链接或电子邮件看起来可疑,那很可能是可疑的,因此请抵制点击它的冲动。
  • 网站监控工具:识别恶意活动的最佳方法之一是使用高级网站监控软件。 这有助于针对您网站上的异常活动提供实时警报。

概括

SSL 剥离发生在后台,大多数用户通常不知道,但拥有基本的、免费的 SSL 信息的用户和网站所有者可以保护自己免受攻击。