漏洞分析---SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析

最新推荐文章于 2024-04-18 12:02:09 发布
最新推荐文章于 2024-04-18 12:02:09 发布
阅读量1w 收藏 4
点赞数 1
分类专栏: 安全技术与实践 文章标签: ssl 降级攻击 POODLE

SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析

 

转自爱毒霸社区,原文链接:http://bbs.duba.net/thread-23222323-1-1.html

 

一、漏洞概述

        SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描述。
        攻击者可利用该漏洞获取安全连接当中某些是SSLv3加密后的明文内容。因为兼容性问题,当浏览器进行HTTPS连接失败的时候,将会尝试使用旧的协议版本,这其中就包括SSL 3.0,于是加密协议由更加安全的协议(比如:TLS 1.0)降级成SSL 3.0。
        攻击者在此漏洞利用中扮演一种中间人的角色,比如A,C进行通信,B(攻击者)在中间作为一个代理,B截获A,C之间的通信后经过SSLv3加密后的数据包,利用SSLv3中存在的漏洞,解密得到其数据包的明文信息,而这些明文信息极有可能是用户的隐私数据,比如cookie,这样攻击者就可以拿到这些隐私数据,进行更深层次的攻击
        由此可见此,黑客们可以利用此漏洞。截获用户的隐私数据,进而造成了用户隐私的泄漏,危害较大,应当引起我们的高度重视,而现今唯一解决该问题的方式就是禁用SSLv3加密协议。
 

二、漏洞细节

        以下是一个会受到Padding Oracle影响的信道:

  1. A和C沟通,其中含有敏感数据使用SSLv3加密;
  2. 有一个中间人B代理A和C的通信,其中A和B采用明文传输例如http协议(但A不会发送任何敏感数据到B);
  3. B可以让A对C发出多次请求(比如通过脚本化)并且可以通过控制脚本来控制A发出的请求包的长度和敏感信息的位置(请见技术分析中阐述的一个web请求实例);
  4. B可以截获并修改A发送到C的SSL记录(如果B本身既是代理也是A的出口网关)。

        目标是通过Padding Oracle攻击拿到SSLv3所加密的敏感信息的明文,下面给出一个不安全的web请求场景并对其做技术分析。

(1).场景描述:

        假定A要访问C并且通过B,而B是一个基于Java Script 的代理请求引擎,B可以指定Java Script 的内容但B绝对不会收集任何敏感信息。但B的脚本可以让A使用SSL3.0发送多个HTTPS请求到C并且B可以截获并修改由A发送到C的SSL记录。在SSLv3工作在CBC(cipher-block chaining密文块串联)加密模式的情况下会受到Padding Oracle攻击方式的影响而还原加密包中的明文例如web cookie。

(2).技术分析:

图1: CBC加密过程

         为了保证数据流按加密块粒度对齐,CBC模式下的SSLv3采用末尾填充机制,填充数据长度为1到L中的任意一个值,L为块粒度,以字节为单位,一般是8或者16。在填充数据长度为L时攻击最易于实现,其中填充数据为含有L-1个字节的任意数据加上最后一个字节其值一定为L-1。处理这样一个由n+1个密文块组成的加密请求C0C1 ... Cn(其中C0是起始块)的过程是首先依据解密算法

 

Pi = Dk(Ci) ⊕ Ci-1(Dk是使用连接key解密的函数)

 

算出P1 ... Pn然后检测Pn末尾字节是否为L-1,然后去除该填充验证并移除MAC(Message Authentication Code信息授权码)后接受数据。

         问题出现在SSLv3协议只验证填充块Pn最后一个字节的值是否为填充块长度减1。在填充块大小为L时Pn[L-1]的值如果为L-1则授权通过。这为攻击者提供了一个窥探C1 ... Cn中Ci的一个明文字节即Ci[L-1]的方法那就是强行将Cn块替换为Ci然后发给目标服务器,有1/256的可能性会通过服务器的验证。只要通过服务器验证,则可以通过以下公式反推明文块中Pi[L-1]的值:

Pi[L-1] = (L-1) ⊕ Cn-1[L-1] ⊕ Ci-1

可以看到L和C0C1 ... Cn都为已知值。如此一来黑客通过发送大量请求(平均256*n个包)并且改变数据包数据的相对位置可以通过密文块逐字节推断出数据包中长度为n的明文,以上提到的基于Java Script的网关可以实现上述攻击。

(3).构造一个SSLv3的web中间人攻击:

 

        如果B服务器上的Java Script可以让A发送大量带 cookie 的请求,例如让A去访问一个社交网站而A本身保存有那个社交网站的cookie(根据cookie机制每次请求肯定会使用同样的cookie)。通过构造大量SSLv3请求再结合截包替换SSL数据可以做到逐字节还原cookie字段,而在这种情况下cookie作为敏感信息,地位和用户名+密码 是相同的。
 

下面假设填充粒度为8字节,某社交网站的cookie为abcdefgh。

 

  • 首先Java Script 可以让用户A生成一个图中第一行所示的明文web请求包...

 

B服务器拿到使用CBC模式下的SSLv3数据然后将最末尾块替换为左起第四个块的密文然后反复发送这个包直到解密后的Cn[7]碰巧为7(因为每次连接key都不同),收到连接成功信息。使用之前介绍的反推公式(L为8代入)可以反推出cookie字段第8字节为’h’

  • 然后通过填充请求路径字段让A生成一个图中第二行所示的“右移1字节”的请求包...

同样方法可以推算出cookie字段第7字节’g’。

  • 依此类推直到获取整个cookie值”abcdefg”。此时黑客通过中间人攻击已经获得用户cookie,用户隐私暴露无遗。

 

 

三、解决方案

 

 

        目前解决该问题可以禁用SSL3.0,或者SSL3.0中使用的CBC模式加密,但是有可能造成兼容性问题。建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。 它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。

3.1 网站管理员 

(1).Apache

(2).Nginx

 

 

3.2 普通用户

 

(1) Firefox用户

 

(2) Chrome用户

  • 编辑/usr/share/applications/google-chrome.desktop文件
  • 编辑所有Exec=的行,并在后 面 加入--ssl-version-min=tls1。比如:

 

Exec=/usr/bin/google-chrome-stable %U

 

修改为:

Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U

 

  • 最后重启您的Chrome浏览器

 

 

(3) IE浏览器用户:

       Internet选项--> 高级 --> 使用SSL 3.0 (去除多选框)

 

 

 

 

 

四、相关文章

 

  1. tech2ipo:《Google 披露 SSL 3.0 安全漏洞(附修复方法)
  2. imperialviolet:《POODLE attacks on SSLv3 (14 Oct 2014)
  3. FreeBuf:SSL v3 Poodle安全漏洞修复建议
  4. 知乎:《Bash 漏洞是什么级别的漏洞,有什么危害,具体如何修复?

 

Ping_Fani07
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
复现awvs——POODLE 攻击(带 CBC 密码套件的 SSLv3—CVE-2014-3566)
记录并分享学习安全的知识点..
12-29 1793
1.首先通过awvs对网站进行扫描如下: 2.通过一种工具github中开源工具testssl进行复现,先进行下载,我这边下载好了,有需要的去我百度云盘下载链接:https://pan.baidu.com/s/1V-TbIVsC541D8yEmEkppWA 提取码:需要的评论区扣1,私发 3.下面就直接利用这个工具,利用之前先用./testssl.sh --h查看一下用法 发现参数为-O时是可以检查POODLE漏洞是否存在的 4.使用命令./testssl.sh -O +url来验证漏洞是否存.
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)
huangbaokang的博客
12-12 1万+
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566) 简介: SSL3.0是已过时且不安全的协议,目前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0。 为了通用性的考虑,目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器...
poodle:SSLv3POODLE漏洞的概念证明
05-03
POODLE概念验证 实现用于利用POODLE漏洞的有效PoC的Python框架。 这是一种有前瞻性的举措,因此,如果CTF中出现此缺陷,我可以将此代码用作参考。 它有什么作用? poodle模块包含一个POODLE类,该类实现了利用POODLE漏洞的逻辑。 它是如何工作的? 我们将以poodle-sample-1.py为例来解释此PoC的工作原理,并与在现实世界中如何利用它进行并行。 此攻击包含3个组成部分:客户端,服务器和攻击者控制的MitM代理。 由SecureTCPHandler在此处实现的服务器是完全正常的SSL服务器。 这通常是一个HTTP服务器,它接受来自任何客户端的请求。 攻击者无法“读取”服务器与客户端之间交换的数据。 该客户POODLE_Client此处的POODLE_Client实现,通常是Web浏览器。 客户端拥有一个秘密,实际上是攻击者想要读取的HTTP
POODLE-simulation:SSLv3上的POODLE漏洞模拟
03-26
POODLE代表(P添加O racle O n D分级的Legacy E加密)。 在此漏洞中,攻击者必须是中间人(MiTM)。 当密码块链接与SSLv3.0结合使用时,需要填充以使密码块的大小恒定。 此攻击利用填充方法一次访问邮件中的1个字符。 这是对ssl v3协议中POODLE攻击的模拟。 为了进行概念验证,显示了有权访问加密邮件的攻击者如何使用此漏洞来解码邮件。 介绍: 该报告包含以下内容: 一般而言,SSL和有关v3.0的内容都集中在导致POODLE的事物上 关于POODLE,如何实施,其影响,防范措施。 在纸上将您实现为尝试利用此漏洞攻击者,并解释您的代码及其细微差别 代码poodle.py包含带有sslv3协议的加密/解密功能。 并进一步演示了对协议的狮子狗攻击。 代码已被很好地记录下来,控制台上的打印输出可帮助您随时了解代码的状态。 前提条件: 代码是用Python
sslv3-diediedie:为什么 SSLv3 不是一个好主意
06-21
SSLv3 不安全 贡献 在提交反馈之前,请熟悉我们当前的问题列表并查看。 如果您对此不熟悉,您可能还想阅读之。 请注意,对规范的所有贡献都属于下面概述的“注意事项”条款。 提供反馈(编辑或设计)和提问的最佳方式是向发送电子邮件。 这将确保整个工作组及时看到您的意见。 如果您有编辑建议(即那些不改变规范含义的建议),您可以: a) fork 这个仓库并提交拉取请求; 这是获得编辑更改的最低摩擦方式。 b) 向 Github 提交一个新问题,并在问题正文中提及您认为它是社论的。 对于编辑问题,没有必要通知邮件列表。 c) 对 Github 中的单个提交发表评论。 请注意,此反馈仅由编辑尽最大努力处理,因此它应仅用于快速编辑建议或问题。 对于非编辑(即设计)问题,您也可以在 Github 上创建问题。 但是,您必须在创建此类问题时通知邮件列表,并在邮件正文中提供指向该问题的链接。
SSL 3.0 Poodle漏洞修复方法
weixin_34417635的博客
10-22 129
谷歌于本周二披露了一个存在于 SSL 3.0 版本当中的安全漏洞。详细信息请访问:https://www.openssl.org/~bodo/ssl-poodle.pdf什么是SSL3.0Poodle漏洞SSL协议由美国 NetScape公司开发的,1996年发布了V3.0版本。SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。通常用户的浏览器都使用...
一文讲清SSL协议
you are sherlocked by me!
10-15 4410
OSI七层模型 计算机网络的OSI七层模型和TCP/IP四层模型想必大家都知道。其中SSL/TLS是一种介与于传输层(比如TCP/IP)和应用层(比如HTTP)的协议。它通过"握手协议(Handshake Protocol)"和"传输协议(Record Protocol)"来解决传输安全的问题。SSL/TLS是一个可选层,没有它,使用HTTP也可以通信,它存在的目的就是为了解决安全问题,这也就是HTTPS相对于HTTP的精髓所在 SSL协议 SSL(Secure Sockets Layer)最初由N
SSL V3.0协议(一)
CR7的专栏
12-16 3881
翻译自RFC6101 第五节 SSL协议 SSL是一个分层的协议,每层封包可能包括了长度、描述以及内容字段。SSL接受要传输的信息,并将这些信息(或者其压缩的结果,这是可选的)分片为可管理的块,然后添加MAC(message authenticate code,信息认证码)并加密,最后把封装好的信息传输出去。接收数据是通过解密、身份认证、解压缩、重组最后把结果丢给更高层客户端进一步处理
SSLv3 存在严重设计缺陷漏洞 (CVE-2014-3566)
山兔的博客
03-14 3275
SSL3.0是已过时且不安全的协议,他会导致用户在传输数据的时候,被泄露,这个时候,完美只要验证在数据传输的时候,使用了SSLv3协议,即可证明存在这个漏洞 sslscan有相当完整的支持来检测SSLTLS的所有版本和密码 代码:sslscan IP 使用效果: 注意点: 也有可能是waf那边的配置导致,waf那边可以配置加密算法和ssl 版本 ...
[055] SSL 3.0曝出Poodle漏洞的解决方案-----开发者篇
热门推荐
柳峰的专栏
11-03 3万+
SSL 3.0曝出高危险漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号、支付宝账号、个人隐私等等,后果的严重性相信不用我多说。 SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说服务器不支持更安全的安全
Opera7.23-SSLv3 https可以使用的浏览器
08-07
现在新的浏览器都不支持SSLv3了,但有些情况必须要使用,这个版本的opera可以打开
matrixssl-3-3-1-open.tar.gz_matrixssl_matrixssl 3-1_matrixssl-3-
09-24
MatrixSSL 是针对小型应用程序和设备设计的嵌入式、开放源码SSLv3协议栈(商业版支持TLS协议)。
Domino 修复关于sslv3的“贵宾犬”攻击POODLE
adeyi的专栏
11-07 3894
Technote (FAQ) Question How is IBM Domino impacted by the POODLE attack and what is the solution? Answer SSLv3 contains a vulnerability that has been referred to as the Padding Ora
Nginx服务器SSL的安全配置及CVE-2016-2183漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-05 7656
概要 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 本文主要阐述如何在nginx的web服务器上设置更强的SSL。不使用在SSL/TLS协议中易受攻击SSLv3以及以下版本并且设置一个更强的密码套件,同时启用HSTS和HPKP,为在可能的情况下能够实现Forward Secrecy。 配置文件及对应安全选项说明 1)配置文件位置,默认ssl端口采用443,实际中可按需修改: Ubuntu/Debia
SSL 3.0 安全漏洞修复方法
huhucjf的专栏
10-17 1685
SSL 3.0 安全漏洞修复方法 V2EX 谷歌今天披露了一个存在于 SSL 3.0 版本当中的安全漏洞,详细信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf 什么是 SSL3.0 Poodle漏洞SSL协议由美国 NetScape公司开发的, 1996年发布了V3.0版本。SSL 3.0 已经存在 15 年之
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 970
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
sslv3 poodle漏洞 检测解决方法
luminous_you的博客
03-21 2730
漏洞详情 POODLEPadding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3修复漏洞。 检测方法 在线网站检测 https://www.ssleye.com/ssltool/poodle.html ht
死磕GMSSL通信-java/Netty系列(三)
最新发布
qq_36577699的博客
04-18 536
Netty集成GMSSL实现SSL Server
windows server ssl/tls协议信息泄露漏洞2016-2183
07-25
Windows Server SSL/TLS协议信息泄露漏洞2016-2183是指OpenSSL库在处理SSLv2协议时存在的漏洞。由于SSLv2协议存在严重的安全问题,现代浏览器已经不再支持SSLv2协议。然而,在某些情况下,服务器仍然可能通过SSLv2协议与客户端进行通信。 该漏洞存在于OpenSSL库的代码中,并且可以导致服务器在与客户端使用SSLv2协议进行握手时泄露部分加密通信中的明文信息。这意味着攻击者可以获取到服务器与客户端之间的一些敏感数据,如登录密码、加密密钥等。 为解决此漏洞,服务器管理员应确保已经将所有SSL/TLS协议设置为最新版本,并禁用不安全的协议如SSLv2。另外,及时更新操作系统和软件补丁也是防止此漏洞的重要措施。 同时,建议使用更安全的通信协议,如TLSv1.2或TLSv1.3,以确保服务器和客户端之间的数据传输安全。还建议启用Perfect Forward Secrecy (PFS),这样即使长期秘钥被泄露,之前的通信数据也将不会被揭示。 最后,定期监控服务器日志,以便及时检测异常活动,并通过安全审计工具对服务器进行全面的安全扫描。及早发现和修复潜在的漏洞可以帮助防止信息泄露和其他安全问题的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值