小凡梦

【建站相关】现在部分网站https设置的漏洞,可能会让https形同虚设
各位大佬们好,在本文章开始之前,我先简单的介绍一下httpsHTTPS(全称:Hyper Text Transfe...
扫描右侧二维码阅读全文
11
2018/07

【建站相关】现在部分网站https设置的漏洞,可能会让https形同虚设

各位大佬们好,在本文章开始之前,我先简单的介绍一下https

HTTPS(全称:Hyper Text Transfer Protocol over Secure SocketLayer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版

放暑假一个月了,我也在一个月的时间里逛了无数个博客与论坛,积累了许许多多的知识,同时也发现了部分网站的一些小问题,我就把他们记录了下来,最后我统计的时候发现,问题最多的地方出在https上,大部分网站,存在了大大小小的SSL协议上的漏洞。

下面我就来列举一下这些漏洞:
第一个也算是一个问题,但是算不上漏洞:证书名与域名不匹配,浏览器发出不安全警告。
第二个就是发现很少一部分网站依旧在使用SHA1算法,但是2009年SHA1算法被谷歌成功破解,所以SHA1从此不再安全。
第三就是一些网站证书链顺序校验不正确,正确的顺序应该是当前域名公钥 -> 中间公钥 -> CA 根公钥
。否则可能会引起IOS与安卓的安全警告。
第四也是我这个小博客最大的漏洞之一:OpenSSL心脏出血漏洞

OpenSSL的代码中没有对读长度进行检查,攻击者可以利用这个缺陷,在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求,攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息:例如会话票证的密钥、TLS的会话密钥以及各类密码,攻击者就可以得到这些信息。

虽然我不知道那些dalao们为什么要怼我一个小博客的数据,但是我还是根据这个漏洞,老老实实的做好了相对应的安全防御措施,以防后患。
第五个也是本博客的一个漏洞,之前使用小众注册商注册了SSL证书,使用了SSL 2.0的版本,这个版本于1994年11月发布,有严重的弱点,被认为是失败的协议。但是我却没有注意到,所以导致了一些问题的发生。
既然已经说到这里,那么就来列举一下我已知的不安全的SSL/TLS版本
SSL 2.0 于1994年11月发布,有严重的弱点,被认为是失败的协议。

SSL 3.0 于1995年12月发布,存在POODLE攻击漏洞。

TLS 1.0 于1999年1月发布,存在BEAST攻击(TLS1.0及更早版本的可预见的初始化向量漏洞)漏洞。

暂时我也只总结了这么多,这篇文章在车上匆匆完成,如果有错误,请评论留言!

Last modification:August 6th, 2018 at 06:26 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment