对于安全加密通信,传输层安全协议(SSL/TLS)的重要性不言而喻。如今的TLS协议不仅被用于传输层通讯,更作为一个标准的加密保护协议被广泛应用于 FTP, 电子邮件和×××等领域,时刻保护着我们网络通信的安全。上周一个新的加密***被披露,它可以攻破加密的TLS流量,允许***者拦截并窃取以前认为安全可靠的数据。这两个被披露的新的TLS协议漏洞被命名为“Zombie POODLE”和“ GOLDENDOODLE(CVE)” 使用Zombie POODLE,能够在Citrix负载均衡器中恢复POODLE***,与此同时,GOLDENDOODLE是一种类似的***,但具有更强大,更快速的加密******性能。
在Alexa排名前100万的网站中,约有2000个网站易受Zombie POODLE的***,约1000个网站易受GOLDENDOODLE的***,还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的***。
此***所需条件:
1 HTTPS服务端使用了CBC密码套件
2 在被***客户端和被***服务器之间创建中间人通道MITM,如建立恶意WiFi热点,或者劫持路由器等中间网络设备
3 ***者通过植入用户访问的非加密网站上的代码,将恶意JavaScript注入受害者的浏览器。
4 恶意脚本构造特定的HTTPS请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的Cookie和凭证。
如何防范与应对?
1、确保全站HTTPS完整性,杜绝引入不安全的外链(HTTP脚本资源,尤其是JavaScript脚本) ,可以通过一些SSL站点安全检测服务(如MySSL企业版)进行不安全外链监控;
2、检查服务器,避免使用RC4和CBC等不安全密码套件,通过MySSL.com检测,发现支持的加密套件中避免出现弱密码和包含CBC的密码套件;
3、涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合HTTPS最佳安全实践。