溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

SSL剝離工具sslstrip

發(fā)布時(shí)間:2020-08-07 10:16:08 來源:ITPUB博客 閱讀:234 作者:大學(xué)霸 欄目:網(wǎng)絡(luò)安全
SSL剝離工具sslstrip

在日常上網(wǎng)過程中,用戶只是在地址欄中輸入網(wǎng)站域名,而不添加協(xié)議類型,如HTTP和HTTPS。這時(shí),瀏覽器會(huì)默認(rèn)在域名之前添加http://,然后請(qǐng)求網(wǎng)站。如果網(wǎng)站采用HTTPS協(xié)議,就會(huì)發(fā)送一個(gè)302重定向狀態(tài)碼和一個(gè)HTTPS的跳轉(zhuǎn)網(wǎng)址,讓瀏覽器重新請(qǐng)求。瀏覽器收到后,會(huì)按照新的網(wǎng)址,進(jìn)行訪問,從而實(shí)現(xiàn)數(shù)據(jù)安全加密。由于存在一次不安全的HTTP的請(qǐng)求,所以整個(gè)過程存在安全漏洞。

sslstrip工具就是利用這個(gè)漏洞,實(shí)施攻擊。滲透測(cè)試人員通過中間人攻擊方式,將目標(biāo)的數(shù)據(jù)轉(zhuǎn)發(fā)到攻擊機(jī)。sslstrip將跳轉(zhuǎn)網(wǎng)址的HTTPS替換為HTTP,發(fā)給目標(biāo)。目標(biāo)以HTTP方式重新請(qǐng)求,而sslstrip將HTTP替換為HTTPS,請(qǐng)求對(duì)應(yīng)的網(wǎng)站。這樣就形成了,目標(biāo)和ssltrip之間以HTTP明文方式傳輸,而sslstrip和服務(wù)器以HTTPS加密方式傳輸。這樣,滲透人員就可以輕松獲取明文數(shù)據(jù)了。
向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI