SSL剝離工具sslstrip

大學霸發表於2017-02-15
SSL剝離工具sslstrip

在日常上網過程中,使用者只是在位址列中輸入網站域名,而不新增協議型別,如HTTP和HTTPS。這時,瀏覽器會預設在域名之前新增http://,然後請求網站。如果網站採用HTTPS協議,就會傳送一個302重定向狀態碼和一個HTTPS的跳轉網址,讓瀏覽器重新請求。瀏覽器收到後,會按照新的網址,進行訪問,從而實現資料安全加密。由於存在一次不安全的HTTP的請求,所以整個過程存在安全漏洞。

sslstrip工具就是利用這個漏洞,實施攻擊。滲透測試人員透過中間人攻擊方式,將目標的資料轉發到攻擊機。sslstrip將跳轉網址的HTTPS替換為HTTP,發給目標。目標以HTTP方式重新請求,而sslstrip將HTTP替換為HTTPS,請求對應的網站。這樣就形成了,目標和ssltrip之間以HTTP明文方式傳輸,而sslstrip和伺服器以HTTPS加密方式傳輸。這樣,滲透人員就可以輕鬆獲取明文資料了。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29597077/viewspace-2133553/,如需轉載,請註明出處,否則將追究法律責任。

相關文章