安全研究人员在黑帽安全大会上演示SSL攻击

　　一安全研究人员演示了通过劫持安全套接字协议层（SSL）会话来截获注册数据的方法。Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使 ...

　　一安全研究人员演示了通过劫持安全套接字协议层（SSL）会话来截获注册数据的方法。Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具，可以利用http和https会话之间的接口。
　　Marlinspike在视频中解释道：“SSLstrip可以通过中间人（man-in-the-middles ）的方式攻击网络里所有的潜在SSL连接，特别是http和https之间的接口。”
　　SSL和它的继任者Transport Layer Security(传输层安全)是用于TCP/IP网络加密通信上的加密协议，SSL和TLS通常被银行和其他组织用于安全页面传输。
　　该攻击主要依赖于用户在浏览器中输入URL却没有直接激活SSL会话，而大部分用户激活(SSL)会话都是通过点击提示的按钮。这些按钮一般出现在未加密的Http页面上，一旦点击他们将把用户带入加密的Https页面进行登录。
　　“这为截获信息的方式提供了多种途径”，他在黑帽大会上如是说，他还声称自己在24小时内已经截获了117个email帐户，7个Paypal注册资料，16张信用卡号码的详细信息。
　　SSLstrip通过监视Http传输进行工作，当用户试图进入加密的https会话时它充当代理作关键字：SSL攻击