黑帽大会传出的工具:SSL Strip下载

SSL Strip (下称 SSp) 可以通过中介攻击方式(Man-in-the-middle)在不改变SSL加密状态的情况下,欺骗用户盗取他们私人密码

原理
SSp 可以篡改站点的未加密响应,劫持 HTTPS 链接,同时给原站链接已加密的假象.在用户方面,SSp 使用了多种手段欺骗用户.首先,其使用的本地代理含有合法的 SSL 证书使浏览器将页面报告已加密(但证书提供商不同).其次SSp 还使用单应方式(homographic )创建包含虚假斜线的超长链接,并通过为*.429006.com获取合法的 SSL 通配符证书,阻止浏览器将链接字符转换为PunyCode* ."它篡改的链接看起来很像 Https://gmail.com","http与https间的桥接问题也是 SSL 部署中的一个最基础的部分,改善这一点会很难."

危害
Marlinspike 在 or 匿名网络中(以出口节点身份)运行 SSp 24 小时共截获254个密码,这些密码来自包括 Yahoo, Gmail, Ticketmaster, PayPal, 和 LinkedIn 等大网站.

SSL Strip下载:
暂无

This entry was posted in Technology and tagged , . Bookmark the permalink. 11,753 views

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *