什麼是 SSL 剝離以及如何避免它?

已發表: 2021-10-07

SSL 剝離,也稱為SSL 降級攻擊,簡單來說就是高科技的、未被發現的竊聽。

SSL 剝離攻擊的目標始終是在受害者沒有意識到的情況下終止安全通信。 這都是關於數據收集和操作的。

SSL 剝離允許攻擊者將您的連接從安全的 HTTPS 降級為不安全的 HTTP。 這反過來又使您容易受到監視和數據操縱。

它有點類似於竊聽,只是更具技術性。

然而,竊聽和 SSL 剝離都有一個“中間人”——竊聽者。 在這種情況下,是黑客創建了一個代理服務器來攔截受害者計算機的流量並將其重新路由到他們的計算機。 然後,他們可以使用截獲的信息來做他們想做的任何事情。

用戶通常不會意識到他們的信息正在或已經被洩露,因為他們最終會看到一個與他們正在搜索的頁面幾乎相同的頁面。

這就是 SSL Stripping 欺騙用戶相信他們的連接是安全的並且他們的數據被加密的方式,但是連接實際上是不安全的並且數據以純文本形式發送,因為加密會被從中剝離。 這就是它被稱為 SSL 'strip' 的原因。

SSL 剝離如何工作?

SSL Stripping 蓬勃發展。 如果沒有三個必需的實體,攻擊就不會發生。

必須有:

  • 受害者係統
  • 一個安全的網絡服務器
  • 攻擊者係統

有了這三個部分,欺騙之輪開始旋轉。

這是一個例子。

 Jane 試圖通過啟用 HTTPS 的安全網站購買一雙鞋。
John - 黑客 - 意識到了這一點,並想要捕獲通信並查看 Jane 的機密信息。 想想信用卡號、密碼等。
為此,約翰通過與受害者建立聯繫,將自己置於交易的中間。 這會切斷 Jane 與安全服務器的通信。
簡不知道發生了什麼,繼續購物; 找到她喜歡的鞋子,然後通過在瀏覽器上請求銀行網站進行支付。
然而,請求會發送給 John,後者將其轉發到實際銀行站點的服務器。
Web 服務器將響應發送給 John,認為它是 Jane- 以 HTTPS URL 的形式。
然後,John 繼續使用他的編碼技能將安全的 HTTPS URL 降級為不安全的 HTTP URL,並將其傳遞給 Jane,而 Jane 對後台發生的事情一無所知。
因為約翰的攻擊成功了,簡發送的任何信息都不再加密。 這使約翰可以完全訪問她的密碼、信用卡詳細信息、家庭住址等。

請注意,John 的信息在攻擊期間從未受到損害,因為他與網站的通信受 SSL 保護。

這個過程可能看起來很長而且很耗時,但啟動成功的 SSL Stripping 攻擊只需要幾分鐘。

如何防止您的網站進行 SSL 剝離

檢測受損頁面很困難。 這就是 SSL 剝離如此危險的原因之一。 但是,可以採取許多步驟來保護您的網站免受攻擊。

以下是防止 SSL 剝離攻擊的三種方法。

  • SSL證書
  • 高鐵
  • HSTS 預加載列表

SSL 證書

了解什麼是 SSL 證書將更清楚地了解它們如何幫助抵禦攻擊。

SSL 證書是小型數據文件,用於檢查網站的身份並對發送到服務器的信息進行加密。 當您在 Web 服務器上安裝 SSL 證書時,它會激活安全掛鎖圖標https協議,允許從 Web 服務器安全連接到瀏覽器。

高鐵

HTTP 嚴格傳輸安全或 HSTS 通過指示您的計算機瀏覽器僅通過 HTTPS 連接來提供更高級別的安全性。 它還要求您的計算機在未加密的情況下永遠不要使用 HTTP 進行連接。

通過執行這兩件事,HTTS 可確保在您的瀏覽器上發起的 SSL 剝離攻擊不會成功。

然而,HTTS 並不是抵禦 SSL 剝離攻擊的防彈方法。 如果您在第一次訪問網站時已經受到攻擊,那麼追溯使用 HTTS 可能沒有用。

出於這個原因,建議您將事情提高一個檔次,這將我們帶到第三個

方法 – 使用 HSTS 預加載列表。

HSTS 預載列表

HSTS 預加載列表是僅使用 HTTPS 連接的網站的全球清單。

它為您的網站提供了另一個級別的安全性,並敦促網站所有者在列表中進行自我教育,以及如何保護他們的網站免受 SSL 剝離攻擊。

必須設置 HSTS 預加載列表,以便為所有 HTTPS 請求在基本域上提供 HSTS 標頭。

然後它會向所有瀏覽器指示該站點只能在 HTTPS 協議下加載。 拒絕所有其他變體。

換句話說,如果瀏覽器檢測到 HTTP,HSTS 預加載列表的工作原理是拒絕連接到網站。

普通用戶可能無法判斷網站是否使用 HSTS、HSTS 預加載列表或其他弱點。

由於這些原因,建議您考慮進一步、更安全的隱私保護選項,例如:

  • 通配符 SSL 證書
  • 虛擬專用網
  • 教育

通配符 SSL 證書

有不同的 SSL 證書類型。 通配符 SSL 是一種類型。 他們能夠在單個證書上保護無限的子域。 它提供了一個額外的安全層,並且可以通過同時購買來添加到 SSL 證書成本中。 對於託管或管理同一域中存在的多個站點或頁面的任何人來說,這是一個很好的解決方案。

虛擬專用網

虛擬專用網絡或 VPN可以通過切斷中間人來輕鬆防止SSL 剝離攻擊

當用戶與攻擊者共享一個公共網絡時,攻擊最有可能發生。 但由於 VPN 會加密並保護安全 VPN 隧道內的所有互聯網流量,黑客不會知道您在同一網絡上,從而防止攻擊。

VPN 安全性減少或完全消除了不斷檢查 HTTP、HTTPS、鎖定符號或其他任何東西的需要。 用戶名、密碼和其他機密信息受到其他用戶的保護。

教育

教育對於理解和避免 SSL 剝離至關重要。

以下是一些用戶可以採取的基本預防措施,以避免成為 SSL 剝離的受害者。

  • WiFi :有時會出於其他看似合理的原因使用公共 Wi-Fi 來節省數據。 但是,應避免使用公共 Wi-Fi,尤其是在發送敏感信息時。
  • HTTPS Everywhere:這是一個瀏覽器擴展,它強制瀏覽器只通過 HTTPS 網站發送信息。 應鼓勵用戶下載它。
  • HTTPS :將 https 作為 URL 的一部分鍵入似乎是在浪費時間,但這是一件大事。 即使您沒有輸入,請確保在單擊它之前出現這五個字母。
  • 鏈接: 漢化不能點擊。 如果鏈接或電子郵件看起來可疑,那很可能是可疑的,因此請抵制點擊它的衝動。
  • 網站監控工具:識別惡意活動的最佳方法之一是使用高級網站監控軟件。 這有助於針對您網站上的異常活動提供實時警報。

概括

SSL 剝離發生在後台,大多數用戶通常不知道,但擁有基本的、免費的 SSL 信息的用戶和網站所有者可以保護自己免受攻擊。