ssl - 使用 Https 和第二个有效证书的中间人攻击

标签 ssl https certificate ssl-certificate man-in-the-middle

考虑到这种情况,可以执行中间人攻击:

  1. 通讯使用HTTPS协议(protocol)
  2. 攻击者嗅探来自客户端的请求,并向客户端本身发送一个由 CA 签名的有效证书(不是真实服务器的证书,而是一个自己的证书 由 CA 签名 - 而不是自己签名证书)
  3. 攻击者将客户端的请求重定向到他的服务器的 URL

    客户注意到什么了吗?最终这个问题的解决方案是什么?

最佳答案

如果客户端正确检查证书,这是不可能的。正确的验证不仅检查证书是否由受信任的 CA 签名,还包括检查请求的目标是否与证书的主题匹配。在 HTTP 的情况下,这意味着检查 URL 中的主机名是否包含在证书的主题中。

关于ssl - 使用 Https 和第二个有效证书的中间人攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40894238/

上一篇:windows - 将 Windows 证书存储 CRL 导入 OpenSSL

下一篇:ssl - BizTalk 管理控制台 - 保存属性时出错 - 尝试更改 WCF 自定义 basicHttpBinding 以使用 SSL

相关文章:

wordpress - svg 没有显示在我的 wordpress https 网站上

java - 如何在 IE 受信任的根证书颁发机构存储中自动安装自签名证书

ssl - Spring Boot - 启用和配置 SSL 证书

azure - 使用以下搜索条件找不到 X.509 证书

java - 使用 Qpid 通过 SSL 与 AMQP 1.0 代理进行通信

java - 如何确保客户端-服务器应用程序中的通信安全?

ssl - Openshift "https"+non-www 不工作但 "http"+ non-www 工作

iphone - 检查配置文件的开发人员证书有效性

wcf - 不使用 IIS 的 WCF 服务上的证书

python - Django sendmail SSL 错误 EOF 发生违反协议(protocol)

©2024 IT工具网  联系我们