BLACK HAT ：SSL+WiFi又傳新破解法

2009 / 02 / 23

iseditor

當您在網站上使用HTTPS時，真的有宣稱中的這麼安全嗎? 駭客告訴你，NEVER!！在美國BLACK HAT DC 2009的研討會中，Moxie Marlinspike展示了一套名為SSLstrip的無線網路之SSL封包中間人攻擊與解碼的工具，將原本應該是看不懂的亂碼，從中攔截之後變成可以讀的明文，等於是讓SSL失去效用，而用戶當然是不會發覺。同樣的概念也出現在一般的有線網路中，只要放的位置對，一樣有機會達到這個效果，國內就有資安研發廠商已經能夠做到這個功能，深為企業主所愛用。對於SSL類似的攻擊手法其實層出不窮，在2007年與2008年都曾出現過。

Moxie使用這一套工具在公開的無線網路環境中，1天之內就獲取了超過200組的各式各樣帳號密碼，他呼籲要使用更嚴謹的EVSSL(Extended Validation SSL)認證方式，才能夠確保不會受到此手法的侵害，所以，不管是http還是https，建議使用者在公開網路使用帳號密碼，都要格外小心，三思而行。

SSL BLACK HAT 無線網路