新的TLS/SSL3.0中间人攻击已公布 - TLS renegotiation attack
来源:互联网 发布:快检仪数据接口 编辑:程序博客网 时间:2024/06/08 17:12
刚刚有研究人员公布了一种针对TLS/SSL的中间人攻击, 该攻击
1. exploitable (可操作性比较强)
2. 目前还没有解决方案, 等待各厂商出补丁.
3. 受影响的上层协议包括HTTPS,IMAP, SIP等等.
有人举了下面这个例子来帮助大家理解此洞
E.g., the attacker would send:
GET /pizza?toppings=pepperoni;address=attackersaddress HTTP/1.1 X-Ignore-This:
And leave the last line empty without a carriage return line feed. Then when the client makes his own request
GET /pizza?toppings=sausage;address=victimssaddress HTTP/1.1 Cookie: victimscookie
the two requests get glued together into:
GET /pizza?toppings=pepperoni;address=attackersaddress HTTP/1.1 X-Ignore-This: GET /pizza?toppings=sausage;address=victimssaddress HTTP/1.1 Cookie: victimscookie
And the server uses the victim's account to send a pizza to the attacker.
whitepaper的全文: http://extendedsubset.com/Renegotiating_TLS.pdf
- 新的TLS/SSL3.0中间人攻击已公布 - TLS renegotiation attack
- 【SSL3.0 POODLE攻击信息泄漏漏洞(CVE-2014-3566)】【SSL/TLS 受诫礼攻击漏洞(CVE-2015-2808)】
- 【安全牛学习笔记】SSL、TLS中间人攻击
- 【安全牛学习笔记】SSL、TLS中间人攻击
- 简单分析TLS & SSLv3 renegotiation vulnerability
- SSL/TLS的原理以及互联网究竟是如何工作的(4)—中间人攻击,当心!
- APNS push 服务器端 SSL3.0 转 TLS (iPhone苹果推送服务)
- APNS push 服务器端 SSL3.0 转 TLS (iPhone苹果推送服务)
- SSL/TLS安全之——中间人攻击(MITM)浅析
- Multiple Vendor TLS Protocol Session Renegotiation Security Vulnerability
- TLS
- TLS
- TLS
- TLS
- TLS
- TLS
- TLS
- TLS
- 系統架構課程表
- C++中, 构造函数和析构函数能不能被显示调用?
- 数据元素的位数
- 让vdsp与uclinux共舞(11):方案改进
- 幸福在平淡中活出精彩
- 新的TLS/SSL3.0中间人攻击已公布 - TLS renegotiation attack
- 利用IIS 7.0的URL Rewrite 模块产生用户友好的URL
- MD5加密解密
- Spring_xml 配置
- JXTA——JAVA P2P网络编程技术(入门篇)
- sql 不能识别iif
- 装完Ubuntu 9.10后要干的事
- csv 导入之注册表修改
- Excel的导出