Drown跨协议攻击TLS漏洞分析

最新推荐文章于 2024-07-31 17:17:27 发布
最新推荐文章于 2024-07-31 17:17:27 发布
阅读量2.8k 收藏 2
点赞数 1
文章标签: 安全 https http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wecloud1314/article/details/122942950
版权
本文详细分析了DROWN跨协议攻击TLS漏洞,该漏洞可能导致1100万站点或服务的安全威胁。攻击者利用此漏洞可解密加密通信,包括敏感信息。DROWN主要通过SSLv2协议的弱点对TLS进行攻击,即使现代客户端已禁用SSLv2,配置不当的服务端仍可能受影响。建议用户升级OpenSSL并禁用SSLv2协议以防止攻击。
摘要由CSDN通过智能技术生成

北京时间 2016年3月2日,OpenSSL官方发布了新的安全公告。公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞。百度云安全威胁管理团队联合百度安全应急响应中心第一时间对事件触发应急响应和全网感知,深度分析了漏洞的危害和影响范围。

经分析,攻击者利用该漏洞可突破目前广泛使用的依赖SSL和TLS安全加密体系,互联网中有大约1100万站点或者服务受到此漏洞影响。

 

一、Drown跨协议攻击TLS漏洞分析

  1. 漏洞危害

攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包括但不限于用户名和密码、信用卡号、电子邮件、即时消息,以及敏感文件。在一些常见的场景,攻击者还可以冒充一个安全的网站拦截或篡改用户看到的内容。

  1. 攻击原理

DROWN漏洞主要利用SSLv2协议的脆弱性对TLS协议进行攻击。ssl证书申请

SSLv2协议是90年代推出的安全协议,由于存在大量的安全问题,被后来的TLS协议给替代。目前主流的浏览器等客户端已经禁用了SSLv2协议。OpenSSL官方在2010年的0.9.8n和1.0.0的版本中也移除了对SSLv2的支持。但是在OpenSSL的服务端的实现并没有严格遵守官方的标准,若配置不当依然可以强制使用Export 加密套件(包括密钥交换,加密算法,HMAC等的组合),附 SSLv2 加密套件&#

最低0.47元/天 解锁文章
wecloud1314
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
复现awvs——DROWN协议攻击TLS漏洞(CVE-2016-0800),LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)和Sweet32攻击漏洞(CVE-2016-2183)
记录并分享学习安全的知识点..
12-30 4056
1.首先介绍一下漏洞: (1)DROWN协议攻击TLS漏洞(CVE-2016-0800): 现在流行的服务器和客户端使用TLS加密,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到,但是DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。 (2)LogJam中间人安全限制绕过漏洞 (CVE-2015-4000): LogJam攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务
OpenSSL DROWN溺亡漏洞的检测及修复方法
xuyaqun的专栏
03-07 6420
一、漏洞描述: 现在流行的服务器和客户端使用TLS加密,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。二、漏洞影响: 大部分支持SSLv2的服务器均会受到该漏洞影响,比如启用了ssl、tls加密的web服务器、邮件服务器。三、检测方法:
DROWN漏洞
努力努力再努力!!!
11-05 1721
转载:http://ssl.zzidc.com/chanpinzixun/2016/0304/358.html 1.什么是DROWN漏洞? "DROWN"全称是 Decrypting RSA with Obsolete and Weakened eNcryption,是指"利用过时的脆弱加密算法来对RSA算法进破解",主要针对SSLv2协议漏洞来对TLS进行协议攻击。       "DROW...
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 【可验证】--解决
最新发布
冰恋云的专栏
07-31 857
SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。控制面板--->系统和安全--->管理工具--->本地安全策略--->本地策略--->安全选项--->系统加密:将FIPS兼容算法用于加密、哈希和签名;
OpenSSL曝“DROWN”漏洞,沃通教你3步防攻击
IT技术
03-03 513
据悉,外国研究人员发现OpenSSL出现新的安全漏洞“DROWN”,该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。   什么是Drown漏洞   “DROWN”全称是 Decrypting RSA with Obsolete and ...
三步应对OpenSSL新型漏洞DROWN
weixin_34250434的博客
03-03 469
OpenSSL爆出新型安全漏洞,“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行协议攻击。该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞https站点进行攻...
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
SoulCat
05-31 1万+
TLS/SSl攻击漏洞及检测大全 曾以为爱可以排除万难,可万难过后,又有万难。 漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议TLS安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 TLS/SSL主要漏洞介绍: 1、 OpenSSL C...
Python-publicdrownscanner提供对TLS的DROWN攻击扫描
08-10
DROWN攻击是一种利用SSLv2协议漏洞站点中间人攻击,即使目标服务器已经弃用了SSLv2,仍可能受到这种攻击的影响。下面我们将深入探讨DROWN攻击TLS协议、Python在安全扫描中的应用以及`public_drown_scanner`的...
常见的几种SSL/TLS漏洞攻击方式
weixin_33755557的博客
01-06 4177
原文阅读:https://www.infinisign.com/fa... 迄今为止,SSL/TLS已经阻止了基于SSL的无数次的网络攻击,本文介绍了SSL/TLS常见的几种漏洞以及过往的攻击方式,针对这些漏洞攻击摒弃了老旧的加密算法,详细如下: Export 加密算法 Export是一种老旧的弱加密算法,是被美国法律标示为可出口的加...
ANDROID历年漏洞数量
maoguan121的博客
10-27 632
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
服务器启用了sslv2协议_服务器安全之SSL POODLE漏洞的检测及修复方法
weixin_39978101的博客
11-24 755
OODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。从本质上...
OpenSSL曝出新型漏洞"DROWN",沃通发布安全建议
chuisanchi9688的博客
03-03 337
据悉,外国研究人员发现OpenSSL出现新的安全漏洞"DROWN",该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。 什么是Dro...
HTTP Flood攻击与防御原理
zhoupenghui168的博客
04-07 4203
HTTP Flood攻击与防御原理,以及防御方法
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣
weixin_34327761的博客
09-04 1324
引子 本文讲的是OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣,本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。 感谢Shawn的指点!hf! 细节 360在内部信息安全实践历程中,“360信息...
服务器启用了sslv2协议_黑客惊现!组件IIOP协议远程代码执行漏洞
weixin_39538877的博客
11-24 182
在Oracle官方发布的2020年1月关键补丁更新公告CPU(Critical Patch Update)中,公布了一个Weblogic WLS组件IIOP协议中的远程代码执行漏洞(CVE-2020-2551),此漏洞存在于WebLogic服务器的核心组件中,当WebLogic服务器处于默认设置时,不需要进行管理身份验证和额外的交互,就会触发此漏洞,从而产生广泛的影响。官方给出的CVSS 评分为 ...
TLS 1.2 协议漏洞,多个网站受影响
weixin_34247032的博客
02-14 651
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> TLS 1.2 协议被发现存在漏洞,...
SSL/TLS 协议信息 泄露漏洞 (CVE 2016- 2183) 修复
05-19
CVE 2016-2183是一个严重的SSL/TLS协议信息泄露漏洞,也被称为"DROWN"攻击。该漏洞可以允许攻击者通过对SSLv2协议攻击来解密在其他版本的SSL/TLS协议中传输的加密数据,从而获取敏感信息。 为了修复CVE 2016-2183漏洞,需要执行以下操作: 1. 禁用SSLv2协议 - DROWN攻击利用SSLv2协议中的漏洞,因此禁用此协议可以有效地减轻漏洞的风险。 2. 更新SSL/TLS证书 - 由于DROWN攻击可以通过在SSLv2协议中获取私人密钥来解密传输的数据,因此需要更新SSL/TLS证书以使用新的私人密钥。 3. 更新SSL/TLS实现 - 更新SSL/TLS实现以修复可能导致DROWN攻击漏洞。 4. 检查SSL/TLS配置 - 确保SSL/TLS配置已正确配置,并遵循最佳实践。 总之,修复CVE 2016-2183漏洞需要采取一系列措施,包括禁用SSLv2协议,更新SSL/TLS证书和实现,以及检查SSL/TLS配置。这些步骤可以减轻漏洞的风险,并提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值