栏目

首页 首页 黑科技查看内容

ssl漏洞的常见安全情况有几种

最近更新| 发布者: 站长-黑杰克| 查看: |

   ssl漏洞的常见安全情况有几种?也是很多市民们想要知道的,针对这些以下业内相关专家就来进行介绍。
   ssl漏洞的常见安全情况一:攻击证书。这种安全情况类似veisign之类的公共CA机构,由于系统管理员经常犯的错误就是过于相信信任的verisign等的公共CA机构;像:如果verisign发放的证书说是某某某,系统管理员就能相信;不过对于用户的证书公共CA机构来说可能不能像对网站数字证书那样重视其准确性;再像:verisign发放了一个keyman组织的证书,而是其中一员JACK,当一个网站要求认证用户身份的时候,就能进行提交JACK的证书;更为严重的是由于微软公司的IIS服务器能提供客户端证书映射功能,那么用于将客户端提交证书中的名字映射到NT系统的用户账户,在这种情况下就能获得该主机的系统管理员特权。

   当一些黑客不能利用上面的非法证书进行突破服务器,还会进行尝试暴力攻击;可能暴力攻击证书比暴力攻击口令更为困难,但是就是一种攻击方法,要暴力攻击客户端认证,黑客只用编辑一个可能的用户名字列表然后就能为每一个名字向CA机构申请证书;而每一个证书就能用于尝试获取访问权限,只要一个证书被认可其可能性就会越高。
   ssl漏洞的常见安全情况二:窃取证书。除了上满的方法外,黑客还能利用窃取证书或者窃取相应私有密钥方法进行攻击;其最简单的方法就是利用特洛伊木马,这种攻击几乎就能让客户端证书变得形同虚设,它的攻击往往也是证书的一个根本性弱点,而对付这些攻击的唯一有效方法就是能够将证书保存到智能卡或者令牌之类的设备中。
   ssl漏洞的常见安全情况三:安全盲点。当系统管理员没有办法进行使用现有安全漏洞扫描或者网络入侵侦测系统来审查或者监控网络上的SSL交易,其网络入侵侦测系统就能通过监测网络传输来找寻没有经过认证的活动,其任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以能供系统管理者检视;而是让IDS能够发生作用,IDS必须需要能够检视所有的网络流量信息,但是SSL得加密技术却使得通过http传输的信息无法让IDS辨认。站长推荐—看黑客如何活用CGI漏洞


文章由天启科技原创,抄袭必究,转载请注明:
本文地址:http://www.goodgoodhack.com/heikejishu/2495.html
文章由天启科技站长黑杰克原创,免费学习黑客技术,业务联系站长QQ9326665

最新视频