在保護(hù)機(jī)密信息方面，企業(yè)和黑客之間一直存在斗爭。無論規(guī)模大小，數(shù)據(jù)泄露和黑客攻擊都是企業(yè)面臨的問題，通過暴露敏感信息造成巨大的復(fù)雜性。每當(dāng)網(wǎng)絡(luò)安全專家提出預(yù)防性解決方案時，攻擊者就會另辟蹊徑。一種鮮為人知的新技術(shù)是SSL剝離。那么什么是SSL剝離攻擊以及如何預(yù)防？

一、什么是SSL剝離？

SSL Stripping 是MitM（Main-in-the-Middle）攻擊的一種形式，它利用加密協(xié)議及其啟動連接的方式。這種攻擊規(guī)避了用戶和Web瀏覽器之間的安全HTTPS連接提供的安全性，并將以純文本形式交換的流量和敏感信息暴露給竊聽者。

在暴露敏感信息的同時，這種攻擊還允許攻擊者操縱正在傳輸?shù)膬?nèi)容。由于它會降低SSL/TLS加密連接的等級，因此也稱為SSL降級攻擊。

二、SSL剝離攻擊如何運(yùn)作？

當(dāng)需要安全連接時，用戶和瀏覽器使用SSL加密證書，在雙方之間建立加密鏈接。建立安全連接時會發(fā)生以下操作：

1、用戶使用不安全的HTTP請求請求服務(wù)器；

2、服務(wù)器通過HTTP響應(yīng)并將用戶重定向到HTTPS（安全連接）；

3、安全會話以HTTPS請求開始。

SSL加密過程保證了完整性和隱私性。攻擊者無法侵入用戶和服務(wù)器之間的安全HTTPS連接。

三、SSL剝離攻擊成功是什么原因？

攔截通信的最簡單方法是使用公共熱點(diǎn)。攻擊者通常會設(shè)置與合法熱點(diǎn)名稱相似的虛假熱點(diǎn)，并攻擊進(jìn)入惡意熱點(diǎn)的用戶。

另一種可以完成SSL剝離攻擊的方法是用戶通常不會在地址欄中輸入完整的URL，包括https://。僅鍵入域名為攻擊者提供了向受害者提供HTTP鏈接的機(jī)會。

許多網(wǎng)站僅將HTTPS連接用于登錄和其他重要頁面，而將其他登錄頁面留在不安全的HTTP連接中以提高性能。

用戶和服務(wù)器無法檢測到SSL條。雙方都不會懷疑數(shù)據(jù)的完整性，假設(shè)他們正在與真正的合法合作伙伴進(jìn)行通信。

SSL剝離只能在少數(shù)例外情況下通過設(shè)計(jì)或技術(shù)細(xì)節(jié)識別。只有少數(shù)跡象表明缺少安全連接。

四、如何防止SSL剝離攻擊？

1、SSL證書用于創(chuàng)建安全站點(diǎn)，但為了最大限度地提高其安全性，您需要加密網(wǎng)站的所有頁面，包括所有子域。

2、另一種SSL剝離預(yù)防方法是保護(hù)本地網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問。實(shí)施強(qiáng)大的Web應(yīng)用程序防火墻(WAF)將防止惡意行為者訪問本地網(wǎng)絡(luò)并橫向擴(kuò)展以設(shè)置MitM攻擊。

3、多年來，論壇中列出的惡意鏈接以及通過垃圾郵件發(fā)送的惡意鏈接一直是攻擊者的默認(rèn)武器。避免點(diǎn)擊來自您不認(rèn)識的人的電子郵件。

4、公共Wi-Fi熱點(diǎn)非常適合SSL剝離攻擊。避免使用不安全的Wi-Fi點(diǎn)。

5、另一種防止SSL剝離攻擊的有效方法是在地址欄中手動鍵入完整的URL。

6、一條重要的防線是實(shí)施HSTS（HTTP嚴(yán)格傳輸安全）——一種嚴(yán)格的策略，限制Web瀏覽器與不安全的HTTPS連接進(jìn)行交互。

7、除了強(qiáng)制執(zhí)行HSTS和啟用SSL安全連接外，企業(yè)還需要使用Indusface提供的證書管理系統(tǒng)（如Entrust CMS）來監(jiān)控和管理證書生命周期、公鑰基礎(chǔ)設(shè)施和證書有效性，以防止不良行為者濫用證書。

總結(jié)：SSL剝離攻擊利用用戶未明確請求安全頁面并依賴Web服務(wù)器將他們重定向到所請求網(wǎng)站的安全版本。大多數(shù)用戶并不知道這種攻擊，但是通過使用強(qiáng)大的SSL加密連接，網(wǎng)站所有者可以防止自己成為這種SSL剝離和MiTM攻擊的受害者。