众所周知,https它可以保护数据传输的安全,防止黑客监控、窃取和篡改传输的数据,避免中间攻击。
一般认为,只要网站启用,https协议,数据传输非常安全。
然而,真的是这样吗?
2014年,波兰计算机安全应急响应组发表了一篇文章,文章中这样写道:“许多家用路由器都有未经授权的远程修改配置漏洞。黑客通过在线银行页面注入JavaScript代码,欺骗用户输入账户密码,或验证码,最终窃取用户银行的钱。”
当年这一事件让很多人感到十分疑惑。
大多数人只听说过DNS劫持只发生在http上,从未听说过https也可以发生DNS劫持,https也不安全啊!
什么是https?
简单地说,https是http升级版,在http下加入了SSL层,以保护数据传输安全。
https互联网传输安全保护主要通过数字证书、加密算法、不对称加密等技术实现。它有三个功能:
1. 数据保密
在传输过程中,第三方不会检查保护数据内容。就像商家把商品包得很紧,然后通过快递发给你一样,别人也不知道包裹里有什么。
2. 数据完整性
及时发现被第三方篡改的传输内容。就像快递包裹在你手里,发现包裹有洞,我们可以及时发现并拒绝。
3. 身份校验
保护数据达到用户期望的目的地。就像商家要求买家提供手机号码、地址等详细信息一样,通过身份验证确保正确的位置。
发生攻击
为什么DNS劫持也会发生https身上?
原来黑客用了一个名字SSLStrip这种攻击可以阻止用户和https中间人劫持网站建立连接。
SSLStrip工作流程如下:
- 发动中间人攻击,切齿http请求流量
- 将https所有链接都被替换http
- 使用http与受害者主机连接,同时建立网站服务器https连接
- 受害者主机与网站服务器之间的所有通信请求均由黑客服务器转发
完成攻击,SSLStrip还需要解决一个问题。如果用户访问http,浏览器提醒用户不要使用SSL加密。
为了解决这个问题,SSLStrip会对URL重写,在域名前增加“ssl-”用户被前缀所迷惑。
在实施攻击的过程中,黑客使用了它SSL剥离技术,实现中间人攻击。建立自己和银行之前https,但是在和自己之间用的是http。
可以看出,黑客仍然无法突破https。
然而,许多人对网站安装有误解SSL证书并不意味着网站和浏览器之间的数据传输是安全的。虽然黑客不能绕过它https保护,但仍可使用其他方法窃取用户数据。