Перейти к содержанию
p2u

Техника успешного внедрения в SSL соединение

Recommended Posts

p2u

На конференции Black Hat показали как можно незаметно и успешно атаковать (перехватывать) защищённую SSL сессию для сайтов на которых присутствует как защищённый, так и не защищённый контент...

Источники:

Man-in-the-middle attack sidesteps SSL

New SSL Web site hack revealed

Добыча:

To prove the usefulness of the attack to a hypothetical criminal, he claimed the hack had given him access to 117 e-mail accounts, 16 credit card numbers, 7 PayPal log-ins, and over 300 other "miscellaneous secure log-ins" in a 24-hour period. Sites involved included Ticketmaster, Paypal, LinkedIn, Hotmail, and Gmail.

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Спасибо! Вовремя и очень в тему - для моей работы очень поможет!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ alexgr

Хорошо осознать, что производители браузеров сами провоцируют такие атаки в своём стремлении делать всё как можно 'удобно' для пользователей. Удобство, как практика показывает, не лучший советчик в вопросах безопасности. У меня в Firefox такое не пройдёт (Не настройки по умолчанию!): Tools - Options - Security - Warning messages (Settings...):

d0fdd48958b4.jpg

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Презентация техники успешного внедрения в SSL соединение в формате .pdf: Marlin Spike Defeating SSL (2.33 MB)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Презентация техники успешного внедрения в SSL соединение в формате .pdf: Marlin Spike Defeating SSL (2.33 MB)

Paul

Спасибо! очень кстати, к сегодняшнему эвенту в одном из банков :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

Уже появился вроде PoC

На конференции Black Hat показали как можно незаметно и успешно атаковать (перехватывать) защищённую SSL сессию для сайтов на которых присутствует как защищённый, так и не защищённый контент...

Источники:

Man-in-the-middle attack sidesteps SSL

New SSL Web site hack revealed

Добыча:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×