HTTPS 協議降級攻擊原理

0x00 HTTPS

在傳統流行的web服務中，由於http協議沒有對資料包進行加密，導致http協議下的網路包是明文傳輸，所以只要攻擊者攔截到http協議下的資料包，就能直接窺探這些網路包的資料。

HTTPS 協議就是來解決這個問題的，關於HTTPS協議的原理由於不是本文的主要討論內容，所以大家可以到大型網站的 HTTPS 實踐（一）—— HTTPS 協議和原理這裡檢視。

簡而言之，HTTPS協議在應用層的http協議和以及傳輸層TCP協議之間的會話層加入了 SSL/TLS協議，用作加密資料包。會話層的這個加密協議，在真正資料傳輸之前，進行握手通訊，握手的資訊交換主要包括：雙方確認加密協議的版本，確認身份（其中瀏覽器客戶端的身份有時是不需要確認的），確認傳輸真正資料的加密密碼（對稱加密）。

在用作資訊傳輸的加密密碼確認之後，接下來的通訊資料都會加密後再傳輸，從而達到防竊取的作用。

0x01 HTTPS 協議降級

那麼使用了https就能確保安全傳輸了嗎？

可以說理想上是的，現實卻不是。

原因簡單來說就是：設計和實現SSL/TLS協議出現了漏洞，導致攻擊者同樣可以攻擊一些舊版本的SSL/TLS協議。當SSL/TLS加密協議漏洞爆出來之後，最新版本的SSL/TLS協議修復了已知漏洞，但舊版本的加密協議卻變得不安全了。

那麼什麼又是“HTTPS協議降級”？

在上一小節我們提到SSL/TLS協議通過握手來確定通訊資訊，其中握手雙方要統一加密協議版本。

在握手過程中這樣確認加密協議版本：

1. 由客戶端（如瀏覽器）傳送第一個資料包 ClientHello，這個資料包中儲存著客戶端支援的加密協議版本。
2. 伺服器收到這個ClientHello資料包，檢視裡面客戶端支援的加密協議版本，然後匹配伺服器自己支援的加密協議版本，從而確認雙方應該用的加密協議版本。
3. 伺服器傳送ServerHello資料包給客戶端，告訴客戶端要使用什麼加密協議版本。

在上述過程中，如果客戶端傳送給伺服器的ClientHello資料包中說自己僅支援某個有漏洞的舊版本加密協議（比如僅支援SSLv3.0）,伺服器有兩種可能：

1. 伺服器支援很多版本，其中包括有漏洞的舊版本和新版本（包括了SSLv3.0協議），那麼伺服器會認可使用有漏洞的舊版本協議，從而告訴客戶端使用有漏洞的舊版本（可以使用SSLv3.0）。
2. 伺服器不支援有漏洞的舊版本，拒絕客戶端的這次請求，握手失敗。

對於攻擊者，作為中間人只能監聽到加密過的資料，如果這些資料通過沒有漏洞的加密版本加密，攻擊者並不能做什麼。

但是，如果伺服器提供有漏洞的舊版本加密協議的支援，而同時攻擊者又能作為中間人控制被攻擊者的瀏覽器發起漏洞版本的HTTPS請求，那雖然攻擊者監聽到的也是加密過的資料，但因為加密協議有漏洞，可以解密這些資料，所以資料就和明文傳輸沒有什麼差別了。

這就是HTTPS協議降級。

0x02 SSLv3.0 的AES加密原理

攻擊者通過握手將HTTPS通訊協議降低到SSLv3.0之後，將會攔截到經過SSLv3.0加密過的資料，Padding Oracle攻擊可以解密這些資料。

為什麼叫 Padding，我們從SSLv3.0的加密原理說起。

也是在第一小節，HTTPS握手過程中，通訊雙方還確認了一個“加密密碼”，這個密碼是雙方在握手過程中使用非對稱加密的方式協商出來的對稱加密密碼。攻擊者能攔截到的資料就是被這個密碼加密的。

這個對稱加密使用AES加密，AES塊密碼會把要加密的明文切分成一個個整齊的塊（如將明文以16個位元組為一塊分成很多塊），如果最後一塊不足一塊，則會填充（Padding）滿一塊，再進行加密。這個填充就是Padding Oracle攻擊的關鍵。

AES是典型的塊密碼，塊密碼的加密方式有很多種，如果你不瞭解，可以檢視塊密碼的工作模式。

SSLv3.0中使用AES-CBC模式加密，我們來看加密和解密流程：

加密過程圖示：

打賞支援我寫出更多好文章，謝謝！

任選一種支付方式