前言
各大浏览器、操作系统都屏蔽掉了SSLv2.0、SSLv3.0,原因是“不安全”,我们来分析SSL v3.0为什么不安全。
一、 POODLE简介
2014年9月Google的一份研究报告
指出,SSL存在安全漏洞CVE-2014-3566,代号为POODLE(Padding Oracle On Downgraded Legacy Encryption,基于降级旧加密协议的填充提示),该漏洞可以使得攻击者获取到一段明文数据,比如HTTP的cookie,且除了完全禁用SSL,或者利用TLS_FALLBACK_SCSV字段禁止协议降级到SSL,没有其他更好的手段可以防御。二、Padding Oracle 攻击原理
Padding Oracle是Web程序渗透的经典攻击方式,由Juliano Rizzo和Thai Duong于2010年
提出,该攻击利用CBC(Cipher-block chaining,密码块链接模式)加密模式中的填充漏洞给出的提示信息逐步推导出明文数据。
相关帖子: