在保護機密信息方面，企業和黑客之間一直存在著斗爭。無論規模大小，數據泄露和黑客攻擊都是企業面臨的問題，通過暴露敏感信息導致巨大的復雜性。每當網絡安全專家提出預防性解決方案時，攻擊者就會找到另一條路線。一種這樣的新的、鮮為人知的技術是 SSL 剝離。問題是 SSL 剝離攻擊很容易發起并且極其危險。

什么是 SSL 剝離？

SSL 剝離是MitM（中間主要）攻擊的一種形式，它利用了加密協議及其啟動連接的方式。這種攻擊規避了用戶和 Web 瀏覽器之間的安全 HTTPS 連接所提供的安全性，并將以純文本形式交換的流量和敏感信息暴露給竊聽者。在暴露敏感信息的同時，這種攻擊還允許攻擊者操縱正在傳輸的內容。由于它會降級 SSL/TLS 加密連接，因此也稱為 SSL 降級攻擊。

SSL剝離攻擊如何工作？

當需要安全連接時，用戶和瀏覽器使用SSL 加密證書，在兩方之間建立加密鏈接。

建立安全連接時會執行以下操作：

• 用戶使用不安全的 HTTP 請求請求服務器
• 服務器通過 HTTP 響應并將用戶重定向到 HTTPS（安全連接）
• 安全會話以 HTTPS 請求開始

SSL 加密過程保證了完整性和隱私性。攻擊者無法侵入用戶和服務器之間的安全 HTTPS 連接。

攻擊者在哪里攔截連接

由于初始請求和 HTTP 重定向響應是純文本的，因此攻擊者攔截了用戶請求。攻擊者通過HTTPS 協議與服務器建立合法連接并與用戶建立 HTTP 連接，從而充當兩方之間的橋梁。攻擊者可以進行中間人攻擊。當服務器發送響應時，攻擊者將其截獲并以未加密的格式發送給用戶，偽裝成服務器。

現在它不是一種 1:1 的交流方式。從用戶傳輸的所有數據都將通過攻擊者的服務器，而不是直接進入合法服務器。同樣，服務器響應將通過中間的攻擊者服務器發送。由于用戶和服務器之間沒有加密通信，因此通過此連接傳輸的所有消息都會暴露給所有人，包括攻擊者。大多數受害者不會意識到收到的 URL 是不安全的 HTTP 連接，傳遞的所有敏感信息都將以純文本形式傳輸。

SSL 剝離攻擊成功背后的原因

• 攔截通信的最簡單方法是使用公共熱點。攻擊者通常會設置名稱與合法熱點類似的虛假熱點，并攻擊進入惡意熱點的用戶。
• SSL 剝離攻擊的另一種方法是用戶通常不會在地址欄中輸入完整的 URL，包括 https://。僅鍵入域名為攻擊者向受害者提供 HTTP 鏈接提供了機會。
• 許多網站僅將 HTTPS 連接用于登錄和其他重要頁面，而將其他登錄頁面留在不安全的 HTTP 連接中以提高性能。
• 用戶和服務器無法檢測 SSL 條。假設他們正在與真正的合法合作伙伴進行通信，雙方都不會懷疑數據的完整性。
• SSL 剝離只能在少數特殊情況下通過設計或技術細節來識別。只有少數跡象表明缺少安全連接。

如何防止 SSL 剝離攻擊？

• SSL 證書用于創建安全站點，但為了最大限度地提高其安全性，您需要加密您網站的所有頁面，包括所有子域。
• 另一種 SSL 剝離預防方法是保護本地網絡免受未經授權的訪問。實施強大的Web 應用程序防火墻 (WAF)將防止惡意行為者訪問本地網絡并橫向擴展以設置中間人攻擊。
• 多年來，論壇中列出并通過垃圾郵件發送的惡意鏈接一直是攻擊者的默認武器。避免點擊您不認識的人的電子郵件。
• 公共 wi-fi 熱點非常適合 SSL 剝離攻擊。避免不安全的 Wi-Fi 點。
• 防止 SSL 剝離攻擊的另一種有效方法是在地址欄中手動輸入完整的 URL。
• 一條重要的防線是實施 HSTS（HTTP 嚴格傳輸安全）——一種限制 Web 瀏覽器與不安全 HTTPS 連接交互的嚴格策略。
• 除了執行 HSTS 和啟用 SSL 安全連接外，企業還需要使用 Indusface 提供的 Entrust CMS等證書管理系統來監控和管理證書生命周期、公鑰基礎設施和證書有效性，以防止不良行為者濫用證書。

結論

SSL 剝離攻擊利用了用戶沒有明確請求安全頁面并依賴 Web 服務器將他們重定向到所請求網站的安全版本的優勢。大多數用戶不知道這種攻擊，但通過使用強大的 SSL 加密連接，網站所有者可以防止自己成為這種 SSL 剝離和 MiTM 攻擊的受害者。