起点SEO
欢迎光临起点SEO网站定向推广服务,专注于网站建设、网站优化推广 | 收藏本站 | 繁體转换 | ENGLISH
上海网站建设、上海网站优化、上海seo咨询电话:15800568690
网站首页 - 新闻中心 - 网站是不是装了HTTPS就安全了?如何安装HTTPS证书?

网站是不是装了HTTPS就安全了?如何安装HTTPS证书?


日期:2019-12-5 8:41:19 浏览: 次 来源: 搜狐
网站是不是装了HTTPS就安全了?如何安装HTTPS证书?

往常的网络不像以前那样,翻开网站后阅读器显现的是http://这样的,往常简直开端向https://转换了,笔者搜索了下这方面的信息,听说这种方式安全,真的安全不安全的我不知道,但装置HTTPS证书还是比较繁琐的,所以倡议大家若有需求还是请人辅佐的好!今天给大家聊一下装置HTTPS证书的相关信息,以下为援用网络上的信息,信息真实度仅供参考!

网站是不是装了HTTPS就安全了?如何装置HTTPS证书?

很多人将https与安全画上了等号。实则不然,今天跟大家聊聊https的那些事。
在平常工作和日常生活中, “https=安全”这样的观念在大多数人的思想中根深蒂固,以至很多人基本不以为自己会被攻击。那这个观念到底对不对呢?难道真的是 too young too simple, sometimes naïve么?
下面就来突破人们的这些鬼https的信任吧、(注:本文只讨论前端以及中间人的伎俩来获取信息,由于https主要是为了避免信息被监听。至于黑站等相关问题,本文暂不讨论。)
一、https降级攻击降级攻击这项技术历史长久,但由于操作简单便利,所以运用率不时很高。这项技术与证书伪造异曲同工,为了让读者能直观感受这一类直接劫持类型的攻击,在此做一个简单的演示。
为了让大家对整个演示过程印象深化,把BAT的产品拿来做演示对象应该是最有效的。另外,个人觉得搜索引擎应该也是大家用的最多的产品,那无妨就让baidu一马当先,先上笔者的手术台被我解剖下。
工具:一台受害者的电脑或者虚拟机,另一台装有sslstrip或者一堆高度集成的自带sslstrip功用的中间人工具框架。细致操作请看下面演示 :
在受害者电脑上,这个是正常访问baidu的样子。有小锁图标,有https协议,然后我们看看假如遭到了降级攻击之后,受害者的百度:

很明显,安全锁图标消逝了,地址栏最前面的https 也不见了。其实,很多攻击者会经过注入前端的js,让用户看起来有https,也有安全锁图标。下面,我们登录下试试:

网站是不是装了HTTPS就安全了?如何装置HTTPS证书?

在攻击者的电脑上:

由上图可见,受害者电脑上输入的用户名和加密后的密码都曾经被截取到。幸而密码是加密的,攻击者无法直接获取受害者的用户名和密码。由上可知,即便有了https,对密码加密也是必不可少的步骤。紧急关头,这也能给自己加一道最后的防护。
从另一个角度来说:在我们的演示中,密码曾经加了密,所以获取到了也没什么用。而且有的同窗说,在地址栏里面这么明显的差别,普通人都能看出是遭到攻击了;既然都能看出问题的所在,那也就不存在安全失控这样的隐患。
那接下来,我们继续引见些更荫蔽、更直接地拿到明文密码的办法。
二、js中间人投毒
这个名字其实是笔者依据攻击原理形象化的描画。其原理是先展开中间人攻击,然后在用户央求的时分修正返回的数据包,插入有攻击性的js代码。细致步骤请看下面的演示:
工具:一台受害者的电脑,一台攻击者的电脑,为了便当,直接运用mitmf这个中间人攻击框架中止操作。
攻击者电脑开启mitmf,调用jskeylogger模块:
看看日志:

网站是不是装了HTTPS就安全了?如何装置HTTPS证书?

曾经开端注入歹意的js了。
受害者继续登录baidu:

密码是“xiaobaitu”,攻击者这边曾经收到,如下图所示。
登录凭证窃取计划完成,这个办法比第一个办法要便当得多,直接窃取到明文密码,而且https以及安全图标都还在。
除了中间人攻击的办法,攻击者还能够分离xss,js缓存投毒等一系列攻击伎俩展开相似的攻击,危害不可谓不大。
三、阅读器歹意插件
阅读器歹意插件,和中间人关系不大。由于中国有Great Firewall的存在,我们基本能够不用担忧一些歹意插件能窃取我们的资料。但是由于习气缘由,很多人喜欢用chrome,并且大家也都知道chrome能够装很多有用的插件,但是由于Great Firewall的存在,经过正常渠道是访问不到谷歌应用商店的。于是,很多有需求的用户会经过各种办法去下载相似的插件。而对插件原理不甚明了的用户,就很有可能下载到带有歹意js的插件。通常来说,大部分的杀毒软件对带有歹意js的插件是没有特别好的检测计划的。而无论是谷歌还是火狐的官方插件商店,都曾经呈现过带有歹意代码的插件,构成了庞大的损失。
背景引见完了,演示如下:
工具:一台受害者的电脑,一个笔者写的chrome插件,一台能够访问接纳的web效劳器。
首先,攻击者在经不住诱惑的状况下(如“美女图片”插件,“一元钱抢6s”插件等描画),下载了歹意的插件,然后又登录baidu(为了增强大家印象),往常,我们换一个比较“致命”的应用,支付宝。

网站是不是装了HTTPS就安全了?如何装置HTTPS证书?

密码是“woshidahuilang”。
接纳效劳器:
由上图能够看出,攻击者端已接纳到全部的信息。
该办法的原理就是经过阅读器插件,在点击登录时,将登录框的信息经过ajax表单的方式提交的远程效劳器,大名鼎鼎间账号密码曾经泄露。
下面贴个完成代码:

主要是经过监听表单的submit事情来完成。
HTTP安全问题其实是当前的一个重点问题,很多人的账户密码都是由以上攻击方式而被窃取的。除上三种方式外之外,攻击办法还有很多,本文就不逐一罗列了。用户必需求了解一个概念:安全是一个需求积聚的过程,就像打补丁。
一个补丁刚打上时,暂时能够保证安全。但是时间一久,系统仍有可能呈现其他的漏洞。你可能以为某个小补丁不起眼,能一击而破,可是别忘了,补丁也不是单独战役。因而,各项安全工作一同合力,就能很好的延长防护的纵深以及拉长防护的阵线,给予我们以及用户更好的维护。

关闭页面】【返回首页

网站新闻

行业资讯

建站知识

友情链接 - 在线留言 - 网站地图 - RSS订阅 - - 全站搜索

版权所有:www.qidianseo.net

关键词:上海SEO上海网站推广上海网站建设上海网站优化