首页>安全资讯>重用加密随机数引发的Forbidden Attack

重用加密随机数引发的Forbidden Attack

据外媒报道,某国际安全小组1月份的全网扫描发现,Visa旗下部分HTTPS网站存在漏洞,可以让黑客注入恶意代码,而不被浏览器发现,受影响的服务器共184台。

该漏洞是由于不正确使用TLS协议造成的,在数据被加密时,错误重用了相同的加密随机数。TLS的规范其实已经写明,加密随机数只能使用一次,但在TLS握手时,这184台服务器重复使用了客户端浏览器首次连接到HTTPS网站的那个随机数,违背了加密的基本原则。因此,黑客只要有能力监控连接传输的内容(比如处于同一个不安全的wifi环境下),他们就可以将恶意内容注入到传输数据流里,而不被客户端浏览器检查出任何问题,利用该漏洞的攻击称之为“Forbidden Attack”。

此外,还有7万台web服务器被发现存在风险,但实际执行攻击会比较困难。理论上,这7万台HTTPS服务器可能会因为伪随机数算法生成的“随机数”而遭受这类攻击,只要有足够多的WEB请求,黑客就有可能去重用其中一个重复随机数来执行攻击。然而这样所需WEB请求的数量是比较大的,约2的30次方个请求里取得重复随机数的可能性仅3%, 只有达到2的35次方个请求量后才能100%成功。在研究人员发现的7万站点中,黑客需要往WEB连接里填充TB级别的数据,从而创建足够多的请求。因此,这种攻击的理论性可能会高于实际意义。尽管如此,自研究人员发布扫描结果后,许多漏洞网站已经被修复。

消息来源Freebuf, arstechnica

文章链接:http://www.wosign.com/News/forbidden-attack.htm

推荐关注:网站https加密 | HTTPS性能与优化 | https网站SEO |  沃通SSL精灵