ssl漏洞是什么
SSL也就是Secure Socket Layer,是一种在Web会话双方和客户间实现安全会话的通讯协议。可以帮助会话双方建立信任关系,实现安全会话。要做到这些还需要结合证书机制,所以会话双发首先要从CA申请数字证书,然后用数字证书中的公钥建立信任关系,再用密钥加密要传输的数据。浏览器与WEB服务器之间再SSL的基础上建立应用层会话,通信协议为HTTPS。由于使用HTTPS/SSL的会话双方是通过一个加密的安全通道进行数据传输,所以很容易给人一个错误的认识,就是在这种机制下一定是安全的,但事实是否定的。原因很简单,因为理想的安全系统是不存在的,SSL同样不例外。SSL安全漏洞主要体现在以下几个方面:1.SSL服务缺陷SSL是为网络通信提供安全保障的但其自身的安全却有可能不理想,而且对于SSL服务自身的安全缺陷是最致命的安全漏洞。这一点也不好笑。在流行的OpenSSL系统就有许多的安全漏洞,最典型的就是存在于各个版本的缓冲区溢出漏洞。OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高密度加密,现在被广泛地应用于各种网络应用程序中。目前OpenSSL已经发现的严重安全漏洞主要有:●OpenSSL服务器SSLV2握手进程缓冲区溢出漏洞。●OpenSSL客户端SSLV3握手进程缓冲区溢出漏洞。●使用Kerberos的OpenSSL服务器SSLV3握手进程缓冲区溢出漏洞。●OpenSSL在64位平台下处理整数ASCLL字符存在缓冲区漏洞。●OpenSSL的ASN.1库在处理畸形证书时存在编码错误容易引发拒绝服务攻击。2002年9月以来,有许多利用OpenSSL安全漏洞的蠕虫,比如"Apache/mod_ssl","Slapper","bugtraq.c"蠕虫。这些蠕虫的攻击对象是使用OpenSSL 0.8.6d之前的SSL模块(mod_ssl)和在Linux上运行的Apache服务器,但仅限于SSL v2设置位有效的且硬件位Intel x86的设备。蠕虫将以下请求发往连接在Internet上的TCP80端口,并搜索攻击对象的Apache服务器:GET /mod_ssl:error:HTTP-request HTTP/1.0如果根据反应确认是Apache服务器,那么就会通过TCP 443发送蠕虫的源代码.之后编辑送入的源代码,并在被攻击设备上执行。让后被感染的设备上再寻找下一个目标。在各台设备上运行的蠕虫通过UDP 2002端口通信,并形成P2P网络。使用这一网络,可以将特定的数据保包一齐向特定目标发送,也就是说可以作为DDOS攻击的平台使用。现在可以看出,OpenSSL系统的安全漏洞不仅危害SSL通信的安全,而且对整个网络系统的安全也有一定的影响。2.攻击证书证书的可信度首先取决于CA,而CA的表现却并不能让人满意。像Verisign之类的安全CA机构并不总是可靠的,系统管理员经常犯的错误就是过于信任Verisign等公共的CA机构。但是,对于用户的证书,CA机构可能不像对网站数字证书那么重视和关心其准确性。对用户的证书的审核,颁发,吊销等工作环节可能不够严密,容易造成证书验证不准确,滥发,滥用,传递中被窃取甚至劫持等。更位严重的是,由于微软的IIS提供了"客户端证书映射"功能,用于将客户端提交证书中的名字映射到NT的用户帐号,在这种情况下如果管理员的证书被窃取或被劫持,那么就能是黑客获得系统管理员权限。黑客可以尝试暴力破解攻击。虽然暴力破解攻击证书比暴力破解攻击口令更位困难,但仍然算一种攻击方式。要暴力破解攻击客户端认证,首先要编辑一个一个用户名列表,然后为每一个名字向CA申请证书。每一各证书都用于尝试获取访问权限。用户名的选择越好,其中一个证书被认可的可能性就越高。暴力破解证书的方便之处就是只需要猜一个有效的用户名,而不是用户名和口令。3. 窃取证书除了上面的方法外,黑客还可能窃取有效证书及相应的私有密钥。最简单就是用木马。这种攻击几乎可使证书形同虚设。它攻击的是客户端系统,并获取其控制权,然后设法利用,窃取或劫持用户的证书。证书服务的关键就是密钥,但是用户经常将密钥保存在不安全的地方,这就又给了黑客可乘之机。对付这种攻击的唯一有效方法也许就是将证书保存在智能卡之类的设备中。4.管理盲点由于SSL会话是加密的,系统管理员没办法使用现有的安全漏洞扫描或IDS来审查或监控网络上的SSL交易。这样就出现了管理上的盲点。IDS是通过监控网络传输来寻找没有经过认证的活动。任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理员监视。而要让IDS能够发生作用,IDS必须能够监视所有的网络流量信息,但是SSL的加密技术却使得通过HTTP传输的信息无法让IDS辨认。我们可以通过最新的安全扫描软件审查一般的网页服务器来寻找已知的安全盲点,这种扫描软件并不会检查经过SSL保护的服务器。受到SSL保护的网页服务器的确拥有与一般服务器同样的安全盲点,可是也许是因为建立SSL连接所需要的时间以及困难度,安全漏洞扫描软件并不会审查受到SSL保护的网页服务器。没有网络监视系统再加上没有安全漏洞审查,使得最重要的服务器反而成为受到最少保护的服务器
心脏出血漏洞怎么办
“心脏出血” 漏洞的危险性在于,它要比一般应用程序中的漏洞潜伏得更深,因为后者可以通过升级应用程序轻易地解决。
从Gmail和Facebook等网站传送安全信息的服务,均有可能会受到“心脏出血” 漏洞的影响。
“心脏出血” 漏洞影响到了各种版本的OpenSSL——支持大多数网络服务的通行数据加密标准。这个漏洞最初是由安全公司Codenomicon的团队和谷歌的安全官员尼尔-梅赫塔(Neel Mehta)发现的。
OpenSSL已发布了紧急更新程序,但是我们仍有必要采取额外的措施来确保你的个人数据安全。
保护自己不受“心脏出血” 漏洞影响的最佳方式是:你不仅要更新你的密码,而且要确保你选择的密码不被轻易地破解。下面的一些技巧可以帮你打造可靠的、不会轻易被别人蒙对的超强密码。
1. 确保你的密码足够长。
你的密码中的字母越多,你的密码就越不容易被别人猜到。谷歌和微软均认为,密码越长越安全。微软建议,你的密码长度至少要达到8个字母。大多数网站对于密码设置也有最低字母数量要求,这样可以有效地防止你使用极易被人猜出的4个字母的密码。
2. 尽量让密码字母随机排列。
如果你使用的密码是一个常见的单词或短语,那么你的这个密码再长也没有效,因为它还是很容易被人猜出。你最好使用一些随机的字母组合,包括各种字母、数字和符号。不要用你的姓名或公司名称作为你的密码,也不要用某个单词来充当密码。你的密码应该包含一系列大写和小写字母、数字和符号。
3. 用错误的拼写取代正确拼写的单词。
如果你准备在密码中使用单词或短语,那么故意使用错误的拼写也是防止密码被别人猜对的好办法。你可以用符号和数字来取代字母。例如,如果你想要在密码中使用“I love soccer”这句话,那么你可以将它改写为“1LuvSoCC3r!1”,这样可以让它变得更安全。
4. 同一个密码不要应用于多个账户。
你千万不要将同一个密码应用到你的所有账户中。否则,如果攻击者发现了你的一个密码,那么他们就可能会访问你所有的个人页面和账户。你还应该确保每个密码都不同于你以前设置的密码或其他现有的密码。
5. 避免出现弱智的密码。
如果你仍然不确定超强密码与弱智密码之间的差别,那么这些密码你千万不要使用:abc1234、password、admin、iloveyou和aaaaaa。在去年12月Adobe的系统遭受黑客攻击时,被破解的都是类似这些简单低级的密码。
6. 通过造句来编写密码。
编写超强密码的另一个好办法就是想出一句你很容易记住的句子,然后进行改写。例如,你造了一个句子“My favorite animal is the koala bear”。现在,你可以取用该句子中每个单词的首字母,然后添加某些标点符号,并用数字替代其中的某些字母。那么,这句话就变成了这样的密码mFA1tkB!。
7.利用应用程序和工具来创造和管理密码。
有时候,即使遵照上面列出的小技巧,你也很难想出你能牢记的安全密码。幸运的是,我们有一些值得信赖的应用程序和服务可以帮助你解决这个问题。
例如,LastPass可以将你所有的重要密码保存在一个安全的地方,并进行统一管理。这款应用程序会加密你的数据和密码列表,防止别人看到它们。而且,它还有两步认证的方法供你选择:它包含有一个密码生成器,可以创造随机的、别人几乎不可能猜到的密码。免费桌面版LastPass会在你登录新网站的时候将密码保存在LastPass上。但是,你需要通过高级预订服务(每年12美元)才能使用移动版LastPass。
而且,LastPass还有一个很实用的工具,它能够告诉你你正在使用的网站是否受到了Heartbleed漏洞的影响。
1Password应用程序是增强你的密码安全性的又一个选择。这款应用程序的售价为17.99美元,它提供的很多功能均类似于LastPass,包括密码生成器和安全加密法。它还有一个浏览器插件可以与你的桌面保持同步。
ssl漏洞是什么
什么是SSL?
SSL代表安全套接字层,它是管理网络信息安全传输的常用协议,也就是说它有助于确保你的浏览器在和你最喜爱的网站服务器之间进行通信时获得私密性和安全性保证,防止数据中途被窃取。简单点举个例子,也就当你需要在网上进行交易付款时,它能够保证你的财务信息安全。如果SSL安全协议层出现漏洞,黑客就可以在一个共享的网络中拦截你在浏览器和网站服务器之间的通信、监控、记录,从中窃取你泄露的一切信息。Gmail、Facebook、金融交易的数据等,所有这一切都可以完全被一个陌生人实时读取。
如何修复SSL漏洞?
想要修复SSL漏洞需要升级到iOS 7.0.6,而 3GS 或旧版 iPod touch 用户则可下载iOS 6.1.6更新。对于之前已经越狱的用户而言,建议通过第三方苹果应用商店PP助手下载固件,然后再通过iTunes,用"Shift+更新"的方法升级,这种方法将有效避免再次越狱可能碰到的一些安全问题。
