Tag Archives: SSL Strip

SSL Strip (下称 SSp) 可以通过中介攻击方式(Man-in-the-middle)在不改变SSL加密状态的情况下，欺骗用户盗取他们私人密码 原理 SSp 可以篡改站点的未加密响应，劫持 HTTPS 链接，同时给原站链接已加密的假象.在用户方面，SSp 使用了多种手段欺骗用户.首先，其使用的本地代理含有合法的 SSL 证书使浏览器将页面报告已加密(但证书提供商不同).其次SSp 还使用单应方式(homographic )创建包含虚假斜线的超长链接，并通过为*.429006.com获取合法的 SSL 通配符证书，阻止浏览器将链接字符转换为PunyCode* ."它篡改的链接看起来很像 Https://gmail.com"，"http与https间的桥接问题也是 SSL 部署中的一个最基础的部分，改善这一点会很难." 危害 Marlinspike 在 or 匿名网络中(以出口节点身份)运行 SSp 24 小时共截获254个密码，这些密码来自包括 Yahoo， Gmail， Ticketmaster， PayPal， 和 LinkedIn 等大网站. SSL Strip下载： 暂无