Kev*_*inM 10 security ssl hacking https packet-sniffer
我试图说服客户为需要登录的网站支付 SSL 费用。我想确保我正确理解了有人可以看到正在发送的密码的主要场景。
我的理解是,在沿途的任何跃点都可以使用数据包分析器来查看正在发送的内容。 这似乎要求任何黑客(或他们的恶意软件/僵尸网络)与数据包到达目的地所需的任何跃点位于同一子网上。那正确吗?
假设这个子网要求的某种风格成立,我需要担心所有的跃点还是只需要担心第一个?第一个我显然可以担心它们是否在公共 Wifi 网络上,因为任何人都可能在监听。我是否应该担心数据包将在此之外传输的 子网中发生了什么? 我对网络流量一无所知,但我认为它流经主要运营商的数据中心,并且那里没有很多多汁的攻击媒介,但如果我错了,请纠正我。
除了使用数据包分析器收听的人之外,还有其他需要担心的向量吗?
我是一个网络和安全新手,所以如果我在其中使用了错误的术语,请随时纠正我。
小智 3
需要注意的是,其他人在这里没有提到的是,某些浏览器会缓存您的表单数据。SSL 站点上的默认行为通常是不缓存任何内容,除非您选择“保存我的密码”。通常密码字段无论如何都不会缓存,但我看到了一些奇怪的情况(通常是信用卡信息,我知道这并不是问题的主题)。
另一件需要注意的事情是 SSL 加密从 TCP 握手开始。一旦使用 SSL,您就无法区分 HTTP over SSL 和 FTP over SSL(除了通过端口号做出的假设)。
您也无法区分登录请求和“我只是浏览”请求,这会混淆潜在黑客的页面流,并确保不仅您的密码数据安全,而且您的浏览历史记录/cookie数据/和任何与您的帐户相关的个人信息。
总而言之,如果您从频谱中消除了中间人攻击,您就减少了许多潜在的攻击,但这并不是说您的网站是“安全的”。此外,分区策略应该有助于保护您免受 XSS 攻击,因为如果您的用户被重定向出您的站点,您将进行区域更改。
| 归档时间: |
|
| 查看次数: |
865 次 |
| 最近记录: |