Simone使用 HTTPS 的网站也能被黑客监听到数据吗?
的有关信息介绍如下:
谢邀。
一、背景描述
最近波兰CERT一篇名为的文章引起我们的注意,原文地址:(
),报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码,最终窃取了用户银行里面的钱。”
前两天微信公众号网站安全中心( wangzhan_anquan )发表消息:近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。
很多朋友收到此消息后给我们留言抛出这样的疑问:
更多朋友所不知道的是,HTTPS加密请求也能嗅探到?
什么是HTTPS:
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的嗅探HTTPS?
简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。
二、攻击细节
黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于
)。
上面就是我使用sslstrip进行嗅探内网某设备的截图,当然这只是一张图:)
SSLStrip的工作原理:
攻击的流程原理可用下图表示:
有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。
这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批量DNS劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:
波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行 嗅探 ,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。
解决方案
这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!
检查DNS是否正常
拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-> 网络参数-> WAN口设置-> 高级设置-> 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。
关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。
如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:
修改路由器Web登陆密码
路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!
上面的步骤都是人工的,我们另外准备了工具(建议结合使用):
开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候 注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!
或者你还不了解DNS劫持?:
不多BB,先上结论: 能!
问:HTTPS为什么安全呢?
答:废话,那是因为数据加密了。
问:那数据加密的秘钥怎么来的?
答:是双方通过相同的随机数计算出来的。
问:那随机数怎么传输的?
答:使用非对称加密传输的,浏览器用公钥加密,只有服务器使用私钥才能解开,别人解不开。
问:你怎么知道那是服务器的公钥,万一是别人的,中间人攻击呢?
答:有证书来证明服务器身份
问:证书万一是假的呢?
答:不可能,假的证书不是受信任的机构签发的,浏览器会验证通不过。
问:那浏览器怎么知道证书的签发机构是不是受信任的?
答:因为受信任机构的根证书安装到了系统中,你总得相信微软吧!
问:要是假的根证书被安装进了系统咋办?
答:
看到了吧,HTTPS安全的基石是非对称加密,非对称加密建立的前提是对方真的是对方,如果这一个前提不成立,后面的一切都是假的!
著名的XX大师给HTTPS网页也能插入广告就是这么实现的。
著名的Fiddler能解密HTTPS流量也是这么做的。
所以,如果有软件提示需要安装证书:那可要留意了,他要干啥?
关于HTTPS的原理,通过一个小故事就能看懂了:
拿物流来比方,
HTTPS 就是你把包裹包装得很安全;
DNS劫持 就是有个人冒充快递来收单子了;
HTTPS 是安全的 。HTTP 在 DNS 被劫持后,可以被随意窃听、修改。
问题在于,你在访问私密页面时(比如网银),你的浏览器使用 是 HTTP 还是 HTTPS 。
现在很多网站,包括国内银行,并 不是所有网页 都在使用 HTTPS。
这就意味着, 攻击者可以篡改那些使用 HTTP 的网页 (或 CSS、JS 等其他资源)。
以工行为例。网银页面当然是在 HTTPS 的保护之下的:
但是工行的首页,是 不 提供 HTTPS 连接的:
这就意味这,工行的 首页 实际上是可以 被任意篡改 的。(在网络环境不安全的情况下)
这有什么问题呢?
如果一个用户,想登陆网银,但他是 先进的工行首页 ,然后再 点击首页上的“登陆” 链接:
那就危险。 这个“登陆”链接可能会被篡改,由 https:// … 改为 http:// … 。
此时,浏览器便会以不安全的 HTTP 与服务器建立连接!
攻击者便可以使用类似 SSLStrip 的工具,将浏览器的 HTTP “转成” HTTP S ,再发给银行服务器。
用户 攻击者 银行
如果用户在这个 HTTP 的网银页面输入了自己的密码,就等于发给了攻击者。
用户能察觉吗?能!
在登录前瞄一眼浏览器地址栏,没有带锁的安全标识、非 https:// 开头(见第一幅图),即能知晓自己被攻击了。
但是,有多少用户会注意到这些?(浏览器 不 会有任何警告,银行也不会察觉)
网银的例子可能还不太好,应该不少人是像我一样,直接点收藏夹的链接登陆。这个链接不会被篡改。但是,在 http:// taobao.com 这样登陆、下单时反复在 HTTP 和 HTTPS 间反复跳转的呢?你是否留意该转 HTTPS 的地方转 HTTPS 了吗。
(一段跑题)有的网站更“吝啬”,连登陆页面都不用 HTTPS,自作聪明地使用 Javascript 加密用户密码。但由于这些 JS 本身可以被篡改,而且篡改后一般用户根本无法察觉,所以这么做更像是在自我安慰。实际上据说已经发生过这类攻击(
)。
如何防范:
作为用户,平常留意一下哪些页面是使用 HTTPS 的,输入密码前确认一下地址栏:域名是否正确?是否是 https:// 开头,带有小锁的图标?
将常用的网银登陆页面加入浏览器收藏夹。
作为网站,现在越来越多的网站在全站部署 HTTPS,比如支付宝、推特、GitHub 等等。虽然会增加成本,但这是对用户负责。我认为这值得推广。
(以上这些问题,应该说是普遍存在的。拿这几个网站举例,只是因为这几个网站是我最常使用的、最熟悉的罢了,没有其他什么意思。)
简单说说,传统的https是基于PKI体系的,需要公钥和私钥来通信,这里不讨论证书被盗的问题。
利用诸如sslstrip之类的技术,这里sslstrip相当于一个代理,你提交的数据都会经过这个代理,sslstrip会将提交的https加密信息转为http进行截获保存,然后在将页面返回给正常用户,显示的是https,这个过程在你肉眼看来是基本无法判断的。
刚刚搜了这个新闻,是这条吗?
新闻中说的,黑客在实施DNS劫持的时候,采用了“SSL剥离的技术”,实施中间人攻击。在自己与银行之间按照正常情况适用https,但是在用户与自己之间是http,说明现在证书还是无法伪造的,除非是正规证书的私钥被盗用。
所以说,https协议目前是安全的,在访问加密网页的时候注意看看地址栏,对于安全要求严格的加密网页可以点进去看看https的证书是否正常,发证机构等信息是否正确,只要系统内证书机制维护正常,一般情况下是没有问题的。。。当然,注意你的浏览器,那是你最后的防线。。。
根据维基百科:
HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和 服务器证书可被验证且可被信任时 ,对 窃听 和 中间人攻击 提供合理的保护。
HTTPS的信任继承基于预先安装在浏览器中的 证书颁发机构 (如VeriSign、Microsoft等)(意即“我信任证书颁发机构告诉我应该信任的”)。因此,一个到某网站的HTTPS连接可被信任, 当且仅当 :
如果信任了CNNIC的证书,当然有可能。
只要使用的是全球信任的SSL证书,比如超安SSL Pro,超真SSL Pro,就不会被黑客监听到数据,下面的文章供你参考:
HTTPS 能否避免流量劫持?
近日,看了一篇关于流量劫持的文章 《安全科普:流量劫持能有多大危害?》 ,作者EtherDream以图文并茂的形式详细讲解了流量劫持及相关知识。“在如今这个讲究跨平台、体验好,并有云端支持的年代,WebApp 越来越火热。各种应用纷纷移植成网页版,一些甚至替代了客户端。同时,也造就了流量劫持前所未有的势头。”小编总结,这里提到的流量劫持危害,大多跟Http明文传输协议的薄弱有关系。
我们来看看流量劫持会带来什么危害?
不同的劫持方式,获得的流量也有所差异。DNS 劫持,只能截获通过域名发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵,只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持,用户所有流量都难逃魔掌。
1 、http 易致在线应用被劫持
网页技术在近些年里有了很大的发展,但其底层协议始终没有太大的改进 —— HTTP,一种使用了 20 多年古老协议。在 HTTP 里,一切都是明文传输的,流量在途中可随心所欲的被控制。而在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。因此,劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起 XSS 的入侵方式。
2 、公共场合使用http ,不登陆也会被劫持
在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页,操控起你的账号了。
3 、http 状态下,Cookie 记录或浏览器自动填表单,都会导致账号密码被截获
http状态下,cookie记录的都是明文的账号密码,被劫持泄露后,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
4 、HTTP 缓存投毒
HTTP这种简单的纯文本协议,几乎没有一种签名机制,来验证内容的真实性。即使页面被篡改了,浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。
5 、Https 能避免劫持吗?
能!但前提是必须用受信任的 SSL证书 。
不同于简单的Http代理,HTTPS 服务需要 权威CA机构 颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,HTTPS 流量因此遭到劫持。
如果重要的账户网站遇到这种情况,无论如何都不该点击继续,否则大门钥匙或许就落入黑客之手。
这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书,比如wosign(沃通)。
自签证书是指不受信任的任意机构或个人,自己随意签发的证书,容易被黑客伪造替换。
6 、全站Https 的重要性
情况一:从http页面跳转访问https页面
事实上,在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽跳转到 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。
尽管地址栏里没有出现 HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。
因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。
情况二:http页面重定向到https页面
有一些用户通过输网址访问的,他们输入了 http://www. alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。
劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。
国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Always on SSL(全站https)技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。
7 、搜索引擎劫持
事实上,HTTPS 站点还有个很大的来源 —— 搜索引擎。遗憾的是,国产搜索引擎几乎都不提供 HTTPS 服务。
谷歌已开始提供https加密搜索方式。Google在官方博客介绍说,普通的HTTP浏览是不安全的,用户和服务器之间的通讯会被第三方监听和干扰,对于Google来说,你在Google搜索的词语会被第三方截获,如果第三方不希望你在Google搜索这个词语,还可以通过技术手段阻止用户的搜索行为。使用HTTPS的Google搜索中,用户搜索的信息将无法被第三方获取,也不会出现数据泄漏的问题,搜索结果页面也不会被干扰或篡改。
结语
从上面的各类劫持案例中,我们可以看出,Https是很有效的流量劫持防范措施,无论是网络服务提供商还是广大网民,为咱自己的帐户安全和权益,都要形成使用https访问网站的习惯和意识,重要的网站必定使用 HTTPS 协议,登陆时需格外留意!
最近爆出了TLS(HTTPS运行在TLS之上,由TLS提供安全信道)一个新的问题:Logjam Attack。相关资料:
影响
这种攻击方法利用TLS协议缺陷,将DHE过程使用的密钥位数降低到512位,而512位的DH密钥很容易被破解。成功利用该缺陷的攻击者可以读取HTTPS连接中的明文和修改明文内容。
修复方法
升级浏览器到最新版本,禁用DHE算法。参考这里:
曾经网页会莫名其妙有个小窗口,404跳转其他网页
https最大的福利是互联网公司而不是用户,https避免流量中间被劫持加塞,有效高了服务质量。
https中间人攻击还是可以的,https无疑加大了运营商的难度。
1.除非是有软件Bug,否则HTTPS一定是安全的。软件Bug的意思是,比如有些程序员脑子懵了,居然在HTTPS使用了明文传输,通俗些说也就是该加密时没有加密。
2.HTTPS虽然安全,但用户不专业,导致被偷钱。比如12306就有证书问题,但几个用户注意到了?并且自己检查以及修正了这个问题?
3.很多被偷钱的用户,都很傻,而且很固执。这一点是我收集了二十几个类似新闻案例得到的结果。
排名第一的答案是来逗的吗,人家问你使用HTTPS的时候监听能否窃取用户数据,你在答什么?
通俗的讲,HTTPS保证安全的方式就是利用SSL协议给传输的数据进行非对称加密,当cracker在客户端或者服务端进行监听的时候,还是一样可以抓取双方传输的数据包,不过这时的数据包是加密的,而且是非对称加密(不懂的同学可以自行搜索,比较简单),如果cracker无法获得加密数据的公钥私钥对,只能破解数据包,就需要破解加密算法,但是这种破解不是一般人能做的,所以cracker窃取了你的数据无法解密,也就无法窃取你的实际信息,就保证了安全。
顺便提一下,安全永远是相对的,即使server端做到了万无一失,用户自己不加强安全意识,那也是白搭。像题主说的DNS劫持,算是一种中间人攻击吧,这种情况下基本只能靠用户自己去识别了。回答中提到很多的HTTPS网站的认证图标只是其中一种方式,这个时候个人觉得更多的看自己的经验了。
首先,
仅部署部分请求的HTTPS是非常危险的行为。
why?
同学说的是一方面,还有一方面就是:
大部分session会话都是以cookie来记录的,要保证主站能获取用户的登陆状态,且主站不使用HTTPS,仅仅用户登陆入口使用HTTPS,代价就是请求其他地方时,session的标识数据给中间人了。
且行且珍惜。
当然可以啊
dns服务器在我这里,电信理由在我这里,我又有根证书
除非你每次打开网站都查看一次链接的签名证书是谁颁发的,颁发者可信吗,
一般情况下用户在浏览器不报错的情况下是不会怀疑的,
so …
https的目的:
对于客户端来说,数据发送之前加密,数据接收后解密,然后提供明文数据.
对于服务端来说,数据发送之前加密,数据接收后解密,然后提供明文数据.
只要解密后的安全问题,https无法保证.
https 只是为了数据传输过程中不配破解.
https的单向认证和双向认证
单向认证
客户端主动认证服务器端是否合法,而没有服务器端对客户端进行验证.
市面上的CA机构都是可信的,只要你的证书是这些可信机构颁发的,那就是合法的证书.
客户端无论是浏览器,其他代理都会按照操作系统中的CA机构对服务器端发到客户端的证书进行校验.
只要校验通过,就可以对客户端和服务器端的数据进行解密.
https的网站,不论是客户端还是服务器端的数据,即使不是黑客,就算是普通人也可以随随便便获取到.
双向认证
客户端和服务端互相认证.
不管单向还是双向,传输过程中的数据最后都是解密后的明文数据,已经到了客户端,已经到了服务端.
什么DNS劫持,什么中间人之类的问题,跟https毫无关系.
你偏偏连接不知道从哪里来的DNS服务器,那跟https有什么关系?
你偏偏连接不知道哪里来的WIFI,那跟https有什么关系?
随随便便连接陌生DNS,随随便便连接陌生WIFI.
随随便便下载,导致电脑中毒,引起的连锁反应问题.
这些问题都跟https毫无关系.
这是把自己的证书弄丢了,交给了黑客.
这种问题,根本不应该考虑.
