Python SSL中的`match_hostname`函数拒绝服务漏洞

最新推荐文章于 2024-02-05 12:59:58 发布
最新推荐文章于 2024-02-05 12:59:58 发布
阅读量131 收藏
点赞数
文章标签: python ssl 安全 Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WELL_CODER/article/details/133299402
版权
Python 专栏收录该内容
240 篇文章 24 订阅 ¥59.90 ¥99.00
订阅专栏

最近,Python中的SSL模块中的match_hostname函数被发现存在一个拒绝服务漏洞。该漏洞可能允许攻击者通过发送精心构造的请求,导致服务器端的Python进程崩溃或资源耗尽,从而拒绝服务。在本文中,我们将介绍这个漏洞的细节,并提供一个示例代码来演示漏洞的影响。

漏洞细节

match_hostname函数是Python的SSL模块中的一个重要函数,用于验证SSL证书中的主机名是否与服务器的主机名匹配。该函数在验证过程中使用了正则表达式,用于检查主机名是否匹配。然而,由于正则表达式的原因,当输入的主机名过长时,match_hostname函数的执行时间会显著增加,从而导致服务器端的资源耗尽或崩溃。

攻击者可以利用这个漏洞来构造一个恶意请求,其中包含一个非常长的主机名。当服务器尝试验证这个恶意请求时,match_hostname函数会花费大量时间来处理这个过长的主机名,最终导致服务器的崩溃或资源耗尽,从而拒绝服务。

漏洞示例

下面是一个示例代码,演示了如何利用这个漏洞来实现拒绝服务攻击:

import ssl

def malicious_request():
了解本专栏 订阅专栏 解锁全文
时代在召唤吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
Python : 改进的模块ssl
weixin_44523387的博客
06-19 756
ssl 模块现在使用 OpenSSL 的内置 API 代替 match_hostname() 来检查主机名或 IP 地址。 值的验证会在 TLS 握手期间进行。 任何证书验证错误包括主机名检查失败现在将引发 SSLCertVerificationError 并使用正确的 TLS Alert 消息止握手过程。 这个新异常包含有额外的信息。 主机名验证可通过 SSLContext.hostname_...
python跳过ssl验证_Python 'ssl.match_hostname()'函数SSL证书验证安全措施绕过漏洞
weixin_39941262的博客
12-10 317
发布日期:2013-11-17更新日期:2013-11-27受影响系统:Python python 3.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 63915Python是一种面向对象、直译式计算机程序设计语言。Python函数ssl.match_...
Pythonssl.match_hostname()’函数SSL证书验证安全绕过漏洞
weixin_30725315的博客
12-04 358
漏洞名称: Pythonssl.match_hostname()’函数SSL证书验证安全绕过漏洞 CNNVD编号: CNNVD-201312-033 发布时间: 2013-12-04 更新时间: 2013-12-04 危害等级: 漏洞类型: 权限许可和访问控制 威胁类型: 远程 ...
解决“DeprecationWarning: verify_ssl is deprecated“问题
sanqima的专栏
02-08 3659
    今天,在aiohttp依赖包时,报"DeprecationWarning: verify_ssl is deprecated, use ssl=False instead async with aiohttp.ClientSession(connector=TCPConnector(verify_ssl=False)) as session"警告,出现这种问题的原因是:verify_ssl已经太老了,新的版本改成了ssl。     解决方法如下:     将 connector=TCPConne
python docker sdk_ImportError:导入docker SDK for Python时没有名为ssl_match_hostname的模块...
weixin_39828331的博客
12-20 222
为了使用Docker SDK for Python,我试图在Python脚本import docker,但结果是ImportError带有以下回溯:Traceback (most recent call last):File "/home/kurt/dev/clones8/ipercron-compose/furion/iclib/tests/test_utils/docker_utils.py...
python检查https过期_https - 使用Python验证SSL证书
weixin_39636857的博客
12-04 914
https - 使用Python验证SSL证书我需要编写一个脚本,通过HTTPS连接到公司内部网上的一堆站点,并验证他们的SSL证书是否有效; 他们没有过期,他们是为正确的地址等发出的。我们为这些网站使用我们自己的内部公司证书颁发机构,因此我们有CA的公钥来验证证书。默认情况下,Python在使用HTTPS时接受并使用SSL证书,因此即使证书无效,诸如urllib2和Twisted之类的Pyth...
python-backports-ssl_match_hostname-3.5.0.1-1.el7.noarch.rpm
01-02
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
backports.ssl_match_hostname-3.4.0.2
04-05
Python的backports.ssl_match_hostname模块详解及其在Tornado的应用》 在Python的世界里,安全性和稳定性是至关重要的。特别是在网络通信SSL/TLS协议的使用是保证数据传输安全的基本手段。然而,对于一些...
解决pythonSSL问题,pip,easy_install无法联网
06-04
只需要把这个代码下载后放到C:\Python27\Scripts,或者没有安装pip和easy_install时放在C:\Python27都可,然后用命令行安装python SSLproblem.py 然后一切问题就都解决了
Python 2.7,离线安装合集tornado,backports_abc,certifi,ordereddict,six
06-01
Python 2.7,离线安装 合集 tornado-4.4.2,python2-backports_abc-0.5-2,python-backports-ssl_match_hostname-3.5.0.1-1,python2-certifi-2016.9.26-2,future-0.15.1.tar.gz,future-0.17.1.tar.gz,python-...
import docker报错:No module named ssl_match_hostname(docker)
昔拉的博客
01-19 2834
报错提示 No module named ssl_match_hostname File “/usr/local/lib/python2.7/dist-packages/docker/transport/ssladapter.py”, line 23, in from backports.ssl_match_hostname import match_hostname ImportError:...
SSL/TLS类安全漏洞及SLB安全漏洞问题
qq_38254635的博客
12-27 1万+
SSL/TLS类安全漏洞及SLB安全漏洞问题
https双向认证Socket版本---实践篇
weixin_44435894的博客
04-09 5600
Python-Https-Client-Socket版本.py import socket import ssl class client_ssl: def send_hello(self, ): CA_FILE = "E:/python-TLS/TLStest证书/CA/ca.pem" KEY_FILE = "E:/python-TLS/TLStest证书/client/client.key" CERT_FILE = "E:/python-TLS/
hexo(四)DeprecationWarning: fs.SyncWriteStream is deprecated
liuyongshun2的博客
02-22 3375
由于换电脑,hexo需要移植,恰巧之前的域名到期了。不知道为什么狗爹没给我来邮件提示域名过期,超过一个月导致没法续费了。于是换回了hexo的默认域名。在折腾遇到了几个新的问题。 一、DeprecationWarning: fs.SyncWriteStream is deprecated 问题: node和hexo插件的版本带来的问题:在node8.x的版本,fs.SyncWriteS...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 21万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2基于DES密码套件从“高”密码字符串组移至“”;但Op
DeprecationWarning: ssl.PROTOCOL_TLS is deprecated
最新发布
I AM COMING BACK...
02-05 592
DeprecationWarning: ssl.PROTOCOL_TLS is deprecated
vulhub docker-compose报错:No module named ssl_match_hostname(Kali环境下)
cj_Hydra's Blog
03-02 920
最后编辑时间:2019/4/5 当前docker-compose版本:docker-compose version 1.25.4, build unknown 当前kali内核:Linux kali 5.2.0-kali3-amd64 #1 SMP Debian 5.2.17-1kali2 (2019-10-17) x86_64 GNU/Linux 报错提示 No module named ssl...
pythonssl.py
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
03-19 3276
python要支持https传输,就要用到ssl.py文件。加密协议也从SSL版本(SSLv2、SSLv3)升级为TLS版本(TLSv1、TLSv1_1、TLSv1_2、TLSv1_3)也就是说,当前传输通道加密协议以TLS为主流。OpenSSL 1.1.1是目前最新版本,支持TLSv1_3协议,OpenSSL的版本号更新还是比较慢的。结合python的WSGI实现https web服务器是很容易...
pythonssl双向认证_https双向认证(python)
05-25
Python实现双向认证,需要用到SSL库和socket库。以下是一个简单的示例代码: ```python import socket, ssl # 服务器端代码 context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER) context.load_cert_chain(certfile="server.crt", keyfile="server.key") bindsocket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) bindsocket.bind(('localhost', 10023)) bindsocket.listen(5) while True: newsocket, fromaddr = bindsocket.accept() conn = context.wrap_socket(newsocket, server_side=True) data = conn.recv(4096) conn.send(b'Hello, client!') conn.close() # 客户端代码 context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT) context.load_cert_chain(certfile="client.crt", keyfile="client.key") sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) with context.wrap_socket(sock, server_hostname='localhost') as ssock: ssock.connect(('localhost', 10023)) ssock.send(b'Hello, server!') data = ssock.recv(4096) print(data.decode()) ``` 在以上代码,服务器端先创建一个SSLContext对象,用于设置SSL相关参数,然后创建一个bindsocket,并开始监听端口。当有连接请求时,服务器端会接受连接,并通过wrap_socket方法创建一个安全套接字对象,从而开始SSL通信。客户端同样也需要创建一个SSLContext对象,用于设置SSL相关参数,并通过wrap_socket方法创建一个安全套接字对象,然后连接服务器。 需要注意的是,在SSL通信过程需要使用到证书和私钥,这里的certfile和keyfile参数需要设置为相应的证书文件和私钥文件的路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值