搜索
查看: 2423|回复: 0

POODLE attacks on SSLv3

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2014-10-18 17:50:34 | 显示全部楼层 |阅读模式
SSL v3爆出漏洞,攻击者可利用该漏洞获取安全连接当中的明文内容。

SSL 3.0虽然已经将近15年了,但是基本所有的浏览器都支持该协议。

为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0。

攻击者可以利用这个特性强制浏览器使用SSL 3.0,从而进行攻击。

解决该问题可以禁用SSL3.0,或SSL3.0中的CBC模式加密,但是有可能造成兼容性问题。

建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。

它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。

该漏洞的分析细节见:

https://www.imperialviolet.org/2014/10/14/poodle.html

(ps: 此漏洞属于中间人攻击,非心脏出血类漏洞)
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表