如何应对SSLStrip攻击

发布网友 发布时间：2022-04-24 02:39

我来回答

共1个回答

热心网友 时间：2023-10-22 11:18

首先SSLStrip是一种中间人攻击，这就是说如果我们网络中对Arp欺骗有防范的话，该类攻击是没有生存条件的~

第二SSLStrip能够攻击成功，是因为使用安全套接层协议层（SSL）的大多数网站通常首先为访问者提供一个未加密的页面，只有开始传输敏感信息部分时才开始提供加密保护。举例来说，当一个用户点击一个登录页面时，SSLStrip会修改网站未加密的响应，使“HTTPS”变成“HTTP”，甚至可以在浏览器地址栏中显示HTTPS的安全锁logo。然而，客户却一直以为连接是受加密保护的。
SSLStrip的这个攻击策略确实很巧妙，主要是利用了客户的疏忽，不过这个确实很有效。因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的，而且一般的客户也不会去观察标题栏~
解决办法：
一个比较笨的办法就是不提供http服务，对客户只提供https服务，客户手工敲入网站，如：https://www.xxx.com，这样SSLStrip的攻击技巧就无从展示，可惜这个不太现实~
比较可行的办法，就是通过使用数字证书或DKEY认证，这样就保证即使SSLStrip在建立起了明文连接，也无法进行透明代理。此时SSLStrip不能获取数字证书，无法进行正常的身份认证，因此也能避免SSLStrip的攻击。目前看国内各大银行提供的网上银行均采用这类认证方式~~

热心网友 时间：2023-10-22 11:18

首先SSLStrip是一种中间人攻击，这就是说如果我们网络中对Arp欺骗有防范的话，该类攻击是没有生存条件的~

第二SSLStrip能够攻击成功，是因为使用安全套接层协议层（SSL）的大多数网站通常首先为访问者提供一个未加密的页面，只有开始传输敏感信息部分时才开始提供加密保护。举例来说，当一个用户点击一个登录页面时，SSLStrip会修改网站未加密的响应，使“HTTPS”变成“HTTP”，甚至可以在浏览器地址栏中显示HTTPS的安全锁logo。然而，客户却一直以为连接是受加密保护的。
SSLStrip的这个攻击策略确实很巧妙，主要是利用了客户的疏忽，不过这个确实很有效。因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的，而且一般的客户也不会去观察标题栏~
解决办法：
一个比较笨的办法就是不提供http服务，对客户只提供https服务，客户手工敲入网站，如：https://www.xxx.com，这样SSLStrip的攻击技巧就无从展示，可惜这个不太现实~
比较可行的办法，就是通过使用数字证书或DKEY认证，这样就保证即使SSLStrip在建立起了明文连接，也无法进行透明代理。此时SSLStrip不能获取数字证书，无法进行正常的身份认证，因此也能避免SSLStrip的攻击。目前看国内各大银行提供的网上银行均采用这类认证方式~~

热心网友 时间：2023-10-22 11:18

首先SSLStrip是一种中间人攻击，这就是说如果我们网络中对Arp欺骗有防范的话，该类攻击是没有生存条件的~

第二SSLStrip能够攻击成功，是因为使用安全套接层协议层（SSL）的大多数网站通常首先为访问者提供一个未加密的页面，只有开始传输敏感信息部分时才开始提供加密保护。举例来说，当一个用户点击一个登录页面时，SSLStrip会修改网站未加密的响应，使“HTTPS”变成“HTTP”，甚至可以在浏览器地址栏中显示HTTPS的安全锁logo。然而，客户却一直以为连接是受加密保护的。
SSLStrip的这个攻击策略确实很巧妙，主要是利用了客户的疏忽，不过这个确实很有效。因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的，而且一般的客户也不会去观察标题栏~
解决办法：
一个比较笨的办法就是不提供http服务，对客户只提供https服务，客户手工敲入网站，如：https://www.xxx.com，这样SSLStrip的攻击技巧就无从展示，可惜这个不太现实~
比较可行的办法，就是通过使用数字证书或DKEY认证，这样就保证即使SSLStrip在建立起了明文连接，也无法进行透明代理。此时SSLStrip不能获取数字证书，无法进行正常的身份认证，因此也能避免SSLStrip的攻击。目前看国内各大银行提供的网上银行均采用这类认证方式~~