HTTPS協(xié)議中間人攻擊的實(shí)現(xiàn)與防御.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，人們的工作和生活已經(jīng)漸漸的離不開網(wǎng)絡(luò)，電子商務(wù)活動(dòng)也隨之日益增多，如何保護(hù)電子商務(wù)以及其他敏感數(shù)據(jù)在網(wǎng)絡(luò)上的安全傳輸問題已經(jīng)成為了目前非常重要的課題。HTTPS協(xié)議正是在這個(gè)環(huán)境下被推出，一經(jīng)推出用戶便以幾何級(jí)數(shù)增長(zhǎng)。但是HTTPS協(xié)議本身也不可避免的存在著一些缺陷，隨著使用的越來越廣泛，針對(duì)該協(xié)議的攻擊手段也隨之層出不窮，這些攻擊嚴(yán)重威脅著電子商務(wù)的發(fā)展。其中中間人攻擊就是最為典型的一種攻擊類型，如何防范中間

2、人攻擊同時(shí)也成為了當(dāng)前最為緊迫的課題。
　　本文對(duì)HTTPS協(xié)議以及SSL協(xié)議及其握手層和記錄層的安全性進(jìn)行了深入的分析，并指出了其安全缺陷。然后從密碼破譯和中間人攻擊的角度分別介紹了針對(duì)HTTPS協(xié)議的攻擊手段，并重點(diǎn)分析了三種針對(duì)HTTPS協(xié)議的中間人攻擊:SSLsniff、 SSLrenegotiation、SSLstrip。
　　鑒于SSLstrip攻擊是針對(duì)用戶使用習(xí)慣的一種攻擊方式，其應(yīng)用較為廣泛，因此我們重點(diǎn)對(duì)

3、SSLstrip攻擊分別在Linux操作系統(tǒng)和windows操作系統(tǒng)下進(jìn)行了具體實(shí)現(xiàn)。對(duì)系統(tǒng)的測(cè)試表明:該系統(tǒng)能成功截獲幾乎所有大型的郵箱門戶網(wǎng)站的登陸帳號(hào)和密碼，攻擊成功率極高。
　　本文另一個(gè)重點(diǎn)是針對(duì)目前SSLstrip攻擊防御的學(xué)術(shù)研究較少，因此我們對(duì)SSLstrip攻擊提出了一種具體保護(hù)措施，并初步做成了一個(gè)基于瀏覽器歷史的安全工具HistoryProxy。我們針對(duì)HistoryProxy的評(píng)估表明:它能夠在可接受的系統(tǒng)