曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        移動銀行和支付應用程序的安全連接:HTTPS通道
        發布時間:2020-03-27 18:05:25   閱讀次數:

        1-20032GQ643296.png

        在本文中,我們將介紹什么是HTTPS通道以及如何在移動銀行和支付應用程序中使用它。我們還將研究其針對所描述攻擊的某些漏洞和補救措施。


        為什么我們需要HTTPS?

        在HTTP協議中,所有傳輸中的信息都是清楚的。這意味著任何攔截設備或間諜協議(例如Wireshark)都可以完全重建TCP / IP數據。因此,在移動銀行的情況下,使用HTTP是不可行的。


        通常,對于此問題有兩種可能的補救措施:

        1. 使用IPSEC

        2. 使用HTTPS


        以下各節將重點介紹HTTPS。


        什么是HTTPS隧道?

        HTTPS是一種協議,允許對HTTP流量(移動應用程序和服務器之間的通信)進行端到端加密。HTTPS在內部創建一個安全的“隧道”,可以在其中交換敏感信息。不應將其與IPSEC混淆,后者會將IP協議內部的數據加密。


        這種HTTPS安全通道的打開以密鑰交換機制為前提,在該機制中,在通道的兩側都建立了對稱密鑰。通常,密鑰交換機制基于Diffie-Hellman密鑰交換(DH)。 


        這是基于DH的主要密鑰交換算法,可與HTTPS一起使用:

        • DH_RSA;

        • DH_DSS;

        • DHE_RSA;

        • DHE_DSS;

        • DH_anon;

        • ECDH_ECDSA;

        • ECDH_RSA;

        • ECDHE_ECDSA;

        • ECDHE_RSA;

        • ECDH_anon。


        通過這些密鑰交換中的一些,“匿名”交換容易受到中間人攻擊。其中一些變體涉及使用必須用于服務器證書的DSA密鑰或橢圓曲線密鑰。


        一旦檢查了服務器證書,雙方之間就確定了一套通用的算法,并且完成了密鑰交換,就執行了握手。然后,發送和接收部分交替對數據進行加密和解密。


        HTTPS協議的已知漏洞

        HTTPS隧道可以使用以下協議之一:

        • SSL 1.0;

        • SSL 2.0;

        • SSL 3.0;

        • TLS 1.0;

        • TLS 1.1;

        • TLS 1.2;

        • TLS 1.3。


        在所有這些協議中,只有TLS 1.2和TLS 1.3仍被認為是安全的。HTTPS協議中使用的幾種密碼套件也被認為是不安全的。


        在下面的內容中,我們研究了一些安全性錯誤和攻擊。無論客戶端是在PC上還是在手機上,它們中的一些都處于活動狀態。原因:服務器上有打開的側面-因此,與服務器的聯系方式無關。


        如果使用不安全的協議通過TLS進行通信,并且可以進行這些攻擊,則可以截獲通信。因此,移動應用程序必須始終檢查協議版本,并通過防止使用弱密碼來確保服務器端不存在此類漏洞。 


        傷心欲絕

        該心血漏洞安全漏洞影響用于HTTPS,OpenSSL的最流行的軟件庫。OpenSSL已被Apache或Nginx等服務器廣泛使用。Heartbleed產生了一個弱點,通過該弱點可以破壞用于HTTPS協議的秘密密鑰。這導致攻擊者可以截獲HTTPS保護的通信。


        Heartbleed錯誤的原理在于客戶端發送到服務器的心跳數據包,這是一種僅用于“ ping”服務器以檢查常見活動的機制。


        該錯誤非常簡單:服務器不會檢查收到的內容的長度。這意味著服務器可以將任意數量的內存復制到令人討厭的緩沖區中。因此,接收器能夠從遠程服務器提取大量的專用內存。該額外數據可以是任何東西,但也可以包含秘密數據,包括服務器使用的私鑰。


        當然,OpenSSL已修復并升級到新版本。但是,尚不知道有多少服務器仍在使用錯誤的OpenSSL版本。在移動銀行安全方面,這可能是一個現實問題。


        Sweet32

        Sweet32是對64位密碼的生日攻擊。大致來說,Sweet32從使用64位分組密碼(例如AES,Triple-DES或Blowfish)的HTTPS連接捕獲大約1 TB的數據。然后可以對使用的分組密碼執行生日攻擊。 


        生日悖論是概率論中的一個眾所周知的問題。以幾個隨機的人為一組,兩個人有相同生日的概率很重要。


        如果我們選擇n個人(n <365),則他們兩個有相同生日的概率為:

        甜32

        對于10個人,概率已經是p?88.3%。


        無需贅述,這是生日襲擊的主要思想?!拜^小的” 64位密碼塊發生的可能性較高。這些用于創建沖突,從而可能篡改HTTPS協議中的身份。 


        BEAST

        BEAST是Browser Exploit Against SSL/TLS的縮寫。


        為了使BEAST成為可能,必須滿足以下條件:

        • JavaScript在相同的原始策略中注入內容;

        • 網絡嗅探;

        • 使用塊密碼的SSL易受攻擊的版本(像RC4這樣的流密碼不易受到攻擊),其中包括TLS 1.0。


        由此,可以通過解密SSL會話來訪問安全cookie,甚至包括受HTTPOnly標志保護的cookie。 


        POODLE

        POODLE攻擊(在降級的傳統加密上填充Oracle)是一種利用某些瀏覽器處理加密方式的攻擊。此漏洞主要針對SSL 3.0。


        HTTPS到HTTP重定向攻擊

        在某些網站中,HTTP版本與HTTPS版本共存,而沒有HTTPS重定向。因此,攻擊者可以創建代理以將對HTTPS的請求轉換為對非HTTPS的請求,而客戶端不必注意到這一點。由于然后將流量重定向為HTTP,因此可以截獲機密數據。


        HTTPS中間人攻擊

        在這里,我們演示了如何在移動銀行業務環境中執行HTTPS中間人攻擊??紤]以下使用MTIM代理或SSLsplit來構建中間人HTTPS代理的示例。一旦用戶接受了代理證書作為根權限(并且有各種各樣的技術來誘使用戶這樣做),則可以通過這些中間人代理之一來剖析HTTPS流量。 


        一種情況可能是:

        •  移動用戶連接到Wi-Fi;

        • Wi-Fi熱點要求用戶信任根證書。

        • 對HTTPS流量進行解密,清除(密碼,密鑰等),然后重新加密,然后使用來自假裝為客戶端的代理的即時證書將其發送到銀行服務器。


        僅當安全性完全基于HTTPS時,此攻擊才起作用。如果客戶端和服務器之間的數據另外被其他任何密碼加密,則將無法正常工作。 


        針對HTTPS攻擊的一些補救措施

        檢查證書指紋

        證書指紋只是服務器提供的DER編碼證書的哈希值。通過采取額外的步驟來根據此類指紋的可信任基礎檢查這些值,客戶端將不會被中間人代理欺騙,后者會向合法服務器頒發即時證書。 


        使用完美前向保密(PFS)

        如果將來會破壞其(長期)密鑰,則PFS可以保護實際會話免遭解密。這對于對抗中間人攻擊(例如SSL代理攻擊)非常有效。


        檢查協議,庫和密碼套件
        • 檢查HTTPS協議是否安全(TLS 1.2和1.3是安全協議);

        • 檢查是否使用了非越野車庫;

        • 檢查是否使用了非弱密碼套件。


        綜上所述 

        不幸的是,使用HTTPS中間人攻擊非常普遍。當使用惡意Wi-Fi網絡時,尤其是在移動銀行和支付應用程序中。專用于保護數據的HTTPS隧道本身必須通過使用一定數量的預防措施來進行保護,以防止此類攻擊。


        除此之外

        HTTPS除了要對以上方面進行保護之外,對于各級根證書的生命周期管理,以及用戶證書、服務器證書等進行有效的、安全的生命周期管理,也是安全的重心。硬件安全模塊HSM)是目前全世界范圍內公認的最有效的對密鑰進行生命周期管理的設備。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精