现如今，DDoS高防，SSL和TLS的咨询题也许司空见惯。在上一篇文章中，我讨论了在过去几年为客户举行软件安全评估时遇到的很多漏洞。在那个由四部分组成的系列博客中，CC防御，我将重点介绍利用SSL/TLS机制中的各种功能的一些攻击，包括：第1部分：执行不力第二部分：神谕第3部分：重复的纯文本第4部分：MITM落级攻击让我们从糟糕的实现开始。心血心血是最闻名的攻击之一，仅仅是因为它的破坏力有多大。攻击者能够在没有任何用户干预的事情下，连接到服务器并从服务器内存中提取机密：密码、私钥、PII，几乎任何东西。一旦这些信息被盗，DDoS防御，怎么处理这些被盗信息取决因此否有其他爱护用户的措施。例如，大概会窃取某个服务器的根密码，但假如由于防火墙等适当实施的缓解操纵而无法访咨询该服务器，则不大概造成任何伤害。唯一的解决想法是为运行在您的操作系统上的OpenSSL应用相关的补丁程序。希翼它是无缝的，你系统上的库将在你的"自动更新"过程中被修补。狂暴这是Mozilla NSS库特有的错误。在这种事情下，Alice能够绕过为特定网站颁发的TLS证书的签名验证。假如签名没有被正确验证，Alice能够为mail.google.com)它看起来和原来的一样，没有私有的TLS密钥mail.google.com. 一旦她有了恶意证书，CC防御，她能够把它安装到某个网站上，它看起来就像mail.google.com. 利用网络钓鱼技术，她能够让受害者访咨询该网站。可是，这种攻击并不像听起来这么简单。假如你叫大伙儿去mail.google.com，他们最后来会去真正的网站，而不是爱丽丝的假网站。所以，Alice必须执行其他MITM攻击，如ARP中毒、DNS缓存中毒和BGP路由劫持，并在用户输入时以某种方式告诉他们去Alice的站点mail.google.com在他们的扫瞄器中。真正的解决想法是确保所有使用NSS库的软件都有最新的安全补丁。阅读本系列的下一篇文章。

当前位置：主页 > CC防护 > 万网网站防DDoS防护