Pages

Wednesday, 22 January 2020

SSL v3.0 安全问题:POODLE漏洞实操

前言

各大浏览器、操作系统都屏蔽掉了SSLv2.0、SSLv3.0,原因是“不安全”,我们来分析SSL v3.0为什么不安全。

一、 POODLE简介

2014年9月Google的一份研究报告《This POODLE Bites: Exploiting The SSL 3.0 Fallback》指出,SSL存在安全漏洞CVE­-2014-3566,代号为POODLE(Padding Oracle On Downgraded Legacy Encryption,基于降级旧加密协议的填充提示),该漏洞可以使得攻击者获取到一段明文数据,比如HTTP的cookie,且除了完全禁用SSL,或者利用TLS_FALLBACK_SCSV字段禁止协议降级到SSL,没有其他更好的手段可以防御。

二、Padding Oracle 攻击原理

Padding Oracle是Web程序渗透的经典攻击方式,由Juliano Rizzo和Thai Duong于2010年《Practical Padding Oracle Attacks》提出,该攻击利用CBC(Cipher-block chaining,密码块链接模式)加密模式中的填充漏洞给出的提示信息逐步推导出明文数据。

相关帖子: