SSL Stripping攻擊說明

SSL Strip(中間人攻擊),主要並不是破解SSL本身的加密機制,而是利用通訊協定之間的漏洞進行攻擊,尤其是當網頁從http轉到https的過程中,來欺騙使用者,誤以為是登入正確的網頁,進而取得帳號密碼等資訊!我們來了解一下:

正常來說,我們一般打開網頁,輸入https://www.examle.com後,會連接到我們連到的有加密的網站,然後進去使用各項服務,但是在網路溝通上,你的主機會先去問網路中此網站的位置在哪裡之後,才會真正進行連結的動作,正常使用上是OK的!

如上圖,有駭客在你的主機與要去網頁的主機之間,架了一台電腦,進行駭客的行為,這時候就有機會取得您登入網頁的帳號密碼囉!當然駭客手上要有一些工具才能進行,這後面會提到,這邊先說一下SSL Strip的步驟!如上圖所示

1.您打開瀏覽器,連結到要具的https網站,駭客利用監聽封包工具,回給你假的網站位置,讓你電腦連到他的網頁!

2.駭客網站會把您的https網頁用http取代,並回傳給你跟要去的網站一模一樣的網頁,這時候網頁上的tab還會有出現鎖頭的樣子取得您的信任,如下圖

值得注意的是有鎖頭外,網址列的部分變成沒有出現https,只有網址!

3.駭客的網站同時會跟真正的網站進行https的溝通,取得伺服器的憑證,因此在駭客的網站與真正的網站之間溝通是https

4.當您在假冒的網站輸入帳號密碼後,駭客網站收到後,一般會回你輸入錯誤的訊息,讓你誤以為真的打錯,而再打一次!這樣取得你的帳號密碼囉!

在這樣的流程中,您可以看到,駭客並沒有破解SSL的機制,而是利用通訊協定上的過程來進行(有人說是漏洞,其實也不太算),如果使用者沒有查覺怪怪的,一下子就被盜取帳號密碼了.恐怖的地方是,這邊使用者完全是依據正常的流程進行,一般人根本不知道被駭!要破解這樣的駭客攻擊,除了本身的警覺性外(看看網站的網址列是否怪怪的),只得靠另外的認證機制來補足,如動態密碼鎖!另外!建議網站廠商應該全程都要有https才行,不要為了省錢而只再需要加密的網頁使用SSL憑證,這會讓駭客有機可乘!

前面有提到駭客用的工具

1.準備一個要取的帳密網站一模一樣的網頁(如facebook)

2.去下載sslstrip工具(到http://www.thoughtcrime.org/),如下圖

3.依照工具的步驟安裝與試用看看

您可以自行研究看看,但本站不鼓勵此行為!