HTTPS 钓鱼攻击:黑客如何使用 SSL 证书假装信任

最新推荐文章于 2025-04-22 00:38:56 发布
最新推荐文章于 2025-04-22 00:38:56 发布
阅读量1.6k 收藏 5
点赞数 2
分类专栏: 网络安全 文章标签: ssl https 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lavin1614/article/details/128484423
版权

让我们回到 1994 年。无需翻出寻呼机或穿上法兰绒衬衫。 这是第一个 SSL 协议诞生的一年。 它由 Netscape 推出,以满足对称为 Internet 的新奇发明增加安全性的日益增长的需求。

后来出现了几个版本的 SSL,它最终变成了我们今天所知道的 TLS。 然而,就像一个糟糕的昵称一样,我们仍然将 TLS 称为 SSL。

自 Web 浏览器问世以来,SSL 的安全性问题一直存在。 网络罪犯喜欢使用 SSL 证书实施网络钓鱼诈骗,并将其伪装成受信任的站点。 这种骗局自 2005 年以来一直存在,当时第一个使用 SSL 证书的网络钓鱼帐户被创建。

根据反网络钓鱼工作组 (APWG) 和贡献者 PhishLabs 的一份报告,2021 年第一季度,83% 的网络钓鱼站点启用了 SSL 加密。 令人惊讶的是,这是自 PhishLabs 于 2015 年开始这项研究以来该数字首次趋于平稳。

但组织不能将此消息作为开始放松防范 SSL 网络钓鱼攻击的理由。 尤其是网络钓鱼威胁总体呈上升趋势,2021 年上半年总数增长了 22%。

为什么攻击者喜欢进行 SSL 网络钓鱼

罗纳德·里根 (Ronald Reagan) 创造了谚语“信任,但要验证”,这在涉及 SSL 证书时尤其如此。 浏览器中的那个小挂锁符号带来了一种信任感,即您将受到保护,不会有人偷走您所有的钱。 破坏这种信任的正是网络罪犯。

SSL 证书应该保护所有对网络犯罪分子来说都是黄金的东西,从你庆祝生日到你最后一次银行取款。 对于精通如何轻松提供虚假安全感的黑客来说,欺诈性 HTTPS 站点是获取此信息的最佳途径。 对他们来说,在通常被描述为“低风险、高回报”的攻击中,使用受信任的挂锁建立一个虚假的 HTTPS 站点相对简单。

攻击者的作案手法 通常是为相似或拼写错误

最低0.47元/天 解锁文章
HTTPS攻击
weixin_44940180的博客
08-25 495
HTTPS攻击方法 (HTTPS=HTTP+SSL/TLS) 降级 : 版本3.0->2.0 解密 : 证书伪造,明文 协议漏洞 实现方法的漏洞 配置不严格 HTTPS降级攻击 SSL/TLS协议通过握手来确定通信信息,其中握手双方要统一加密协议版本。 在握手过程中这样确认加密协议版本: 由客户端(如浏览器)发送第一个数据包 ClientHello,这个数据包中保存着客户端支持的加密协议版本。 服务器收到这个ClientHello数据包,查看里面客户端支持的加密协议版本,然后匹配服务器自己支
黑客术语
05-19 5841
系统篇肉鸡肉鸡就是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他,要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。3389、4899肉鸡3389是Windows终端服务(Terminal Services)所默认使用的端...
通过伪造CA证书,实现SSL中间人攻击
热门推荐
明明
04-10 2万+
最近在网络上查找SSL中间人攻击相关的文章,发现大多都是同一篇文章的转载,原创的很少,而这篇文章中又缺少很多细节。所以我在ubuntu10.04下使用openssl进行了一次SSL中间人攻击实验,并将实验过程记录下来,希望能对别人有所帮助。本人初次接触SSL中间人攻击,文章中可能有错误的地方,希望大家多多批评指正。 如若转载请注明出处,谢谢。 通过伪造CA证书,实现
HTTPS中间人攻击伪造证书的必要性
最新发布
chinansa的博客
04-22 772
此外,定期组织员工开展安全培训,提升员工的安全意识与防范技能,使员工在日常工作中能够敏锐察觉潜在的安全风险,采取正确的应对措施。例如,各大主流浏览器会定期更新内置的 CA 根证书库,及时剔除存在安全风险的证书;同时,在检测到可疑证书时,会以醒目的弹窗形式向用户发出安全提示,引导用户谨慎操作,这在很大程度上降低了用户因疏忽而误信任伪造证书的可能性。究其根源,HTTPS 通信全程采用高强度加密算法对数据进行加密处理,攻击者若未获取到对应的解密密钥,面对密文数据,无异于面对一团乱麻,根本无法知晓其中的真实内容。
关于精准打击自签名伪造SSL/TLS “受信任域名证书”的方案
liulilittle的博客
05-12 1033
目前有两种方法可以实现精准打击 “自签名伪造SSL/TLS “受信任域名证书” 1、普通人可以实现的精准打击方案。 当 “SSL/TLS” 数据经过您的路由流通时,监控目标SSL服务器下发的 “明文公钥证书”,从明文证书上提取关键信息,在从伪造域名的SSL/TLS服务器上拉取公钥证书,对两个证书的进行对比,则可以确定是否是通过 SSL/TLS “受信任域名证书” 来实现不可告人的目的,尤其是在泉州市内实行不可告人的目的,自然真实的域公钥证书需要缓存否则每次都拉起效率会很低。 2、基于实力地位的精准
HTTPS攻击SSL/TLS中间人攻击
初学者L_言的博客
03-01 3133
一、场景环境 攻击机: kali 目标机: WinServer 2003 二、原理 攻击前提: 客户端已经信任伪造证书颁发机构; 攻击者控制了核发证书颁发机构; 客户端程序禁止了显示证书错误告警信息; 攻击者已经控制客户端,并强制其信任伪造证书。 角色: 客户端、客户路由器、真实服务器、攻击者代理服务器 (攻击者代理服务器)攻击者 通过ARP欺骗客户端通过攻击者做网关,数据包通过攻击者发出。此...
谷歌 SSL 数字证书黑客伪造网络信任再度陷入危机
maxiaoqiang1的专栏
09-08 1575
7 月 19 日,位于荷兰的数字证书颁发机构 DigiNotar,为网络犯罪分子颁发了证书,这使得黑客可以向许多域发送欺诈公钥证书请求,包括搜索引擎巨头谷歌所拥有的网站,让黑客获得了使用流氓 SSL 证书劫持 Gmail 帐户,以及使用 SSL 和 EVSSL 数字证书欺诈安全
身披SSL外壳的HTTP协议 —— HTTPS协议
小柒的前端之旅
11-30 421
前面的话 我们知道http协议中的报文采用明文的方式发送,内容很容易被窃取,很不安全。要想信息传输安全,就要使用本文的主角HTTPS。小柒前面总结了http协议,这篇文章总结一下HTTPS协议。 HTTP主要的缺点 通信使用明文,内容可能会被窃听 不验证通信双方的身份,可能会遭遇伪装 报文传输过程中,可能被篡改,不能保证其完整性 解决措施 针对HTTP协议上面的三个缺点,分别接受对应的处理措施...
SSL证书验证机制解析与安全原理
SSL证书是构建在公钥加密基础之上的一种安全证书,用于确保网络通信的安全性和可靠性。在本章中,我们将深入了解SSL证书的基础知识,包括其定义、作用、结构、内容以及颁发机构(CA)的作用。 ## 1.1 SSL证书的定义...
【Disperse软件安全性升级】:数据泄露与攻击的预防措施
[【Disperse软件安全性升级】:数据泄露与攻击的预防措施](https://sharewareriver.com/wp-content/uploads/2018/04/data-encryption-software.png) 参考资源链接:[帝工院Disperse软件2.0用户手册:生成导波特性与...
2016年下半年信息安全工程师上午选择题及解析
qq_68147327的博客
09-17 2806
2016年软考信息安全工程师上午题
python伪装浏览器https_python 使用requests 请求 https 接口 ,取消警告waring
weixin_39769091的博客
12-10 201
JS数组转字符串和字符串转数组主要用到以下两个函数 join();//将数组转换成字符串split();//将字符串转换成数组 var ...C# 日期格式转【转】使用:DateTime.ToString的方法(String, IFormatProvider)转换格式 using System; using System.Globalization; Strin ...JNDI解读&lp...
HTTPS攻击是什么?应该如何应对
HoewDec的博客
12-21 1728
并且智能监测分波算法对全国超50个监测节点智能任务分配,适应不同运营商、不同线路的网络状况,模拟最真实的网络环境,提供精准、迅速的监测结果,并通过可视化风险评估报表、安全报告及风险告警等手段构建完善监测体系。通过采用以上防护措施,可以最大程度地保护您的网站免受HTTPS攻击的威胁,并提升用户数据的安全性。这些攻击利用了HTTPS协议的漏洞或弱点,窃取或篡改传输中的数据,给用户和网站带来极大的安全隐患。在启用双向认证时,我们还需要确保客户端和服务器的证书链路是完整的,并且受到合适的信任机构(CA)的签名。
解析中间人攻击之四——SSL欺骗
WHACKW的专栏
10-26 1137
导言 前面的文章中,我们已经探讨了ARP缓存中毒、DNS欺骗以及会话劫持这四种中间人攻击形式。在本文中,我们将研究SSL欺骗,这也是最厉害的中间人攻击方式,因为SSL欺骗可以通过利用人们信赖的服务来发动攻击。首先我们先讨论SSL连接的理论及其安全性问题,然后看看SSL连接如何被利用来发动攻击,最后与大家分享关于SSL欺骗的检测以及防御技巧。 SSLHTTPS 安全套接字层(SS
Kali Linux渗透测试 103 HTTPS 攻击
kevinhanser
03-26 3745
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 Kali Linux渗透测试(苑房弘)博客记录 1. HTTPS 简介 HTTPS 作用CIA 解决的是信息传输付哦成数据被篡改、窃取 解密:对称、非对称、单向 HTTPS 攻击方法降级攻击 解密攻击(明文、证书伪造) 协议漏洞、实现方法的漏洞、配置不严格
针对SSL的中间人攻击
shinfocom
10-17 357
1 中间人攻击概述 中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且在今天仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。 随着计算机通信网技术的不断发展,MITM攻击也越来越多样化。最初,攻...
python爬虫伪装浏览器_Python 爬虫基础 - 浏览器伪装
weixin_39534121的博客
12-08 431
前面学习了Urllib模块里面最最基本的GET和POST操作。现在做个简单的例子,比如我打算爬http://www.oschina.net/ 的页面如果使用一样的方法import urllib.requesturl = "http://www.oschina.net/"data = urllib.request.urlopen(url).read()他会抛出以下异常raise HTTPError(...
FBI针对HTTPS网络钓鱼发布警告
TrustAsia的博客
06-21 720
“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。” 6月10号,美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。 几周前,Anti-Phishing Working Group发布了一份报告,称他们在2019年第一季度追踪的钓鱼网站中,58%使用HTTPS,甚至有些估计认为这个数字高达90%。 我们很难不将其归因于免费的SSL证书。提...
https 是否真的安全,https攻击该如何防护,https可以被抓包吗?如何防止呢?
a38417的博客
11-26 1796
相信大多程序员已经对这种算法很熟悉了:我们提交代码到github的时候,就可以使用SSH key:在本地生成私钥和公钥,私钥放在本地.ssh目录中,公钥放在github网站上,这样每次提交代码,不用麻烦的输入用户名和密码了,github会根据网站上存储的公钥来识别我们的身份。HTTPS 使用SSL 加密协议,是一种非常安全的机制,目前并没有方法直接对这个协议进行攻击,一般都是在建立 SSL 连接时,拦截客户端的请求,利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥;
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值