研究人员将在Blackhat 2013上讲解如何30秒破解SSL

Salesforce和Square工程师Angelo Prado和Neal Harris将在Blackhat USA 2013上发表《SSL,30秒破解-超越CRIME》的议题。他们将演示一个工具,在不破坏用户通信的基础上,通过旁信道漏洞在30秒内获取SSL中的全部信息,包括会话标识、CSRF和OAuth令牌以及ViewState隐藏值。如上所述,具体的攻击实现方法将在今年的Black Hat会议上讲解。

Angelo Prado说:

“这是一个非常强大的工具,如果你了解工具的利用条件并且清楚你的攻击目标,你可以在不被受害者发现的情况下(不会有任何证书报错信息)破解SSL。”

如Prado所述,Salesforce和Square所做的一切建立在不久之前研究人员Juliano Rizzo和Thai Duong披的CRIME(Compression Ratio Info-leak Made Easy )漏洞基础之上。

“当你在设计安全协议时,你可以实现正确的加密。但你不能够总是保持完全的机密性。当很多协议堆栈时,就可能在栈的某些层出现漏洞,从而破坏整个信任体系。”

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-07-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

一些让你敢到相见恨晚的Python库(一)

作者:赖明星 链接: https://www.zhihu.com/question/24590883/answer/134253100 下面给大家推荐几个我用...

3057
来自专栏FreeBuf

低成本安全硬件(二) | RFID on PN532

引言 鉴于硬件安全对于大多数新人是较少接触的,而这方面又非常吸引我,但是部分专业安全研究设备较高的价格使人望而却步。在该系列中,笔者希望对此感兴趣的读者在花费较...

5709
来自专栏腾讯数据中心

数据中心柴油发电机组带容性负载能力的案例探讨(下)

柴油发电机组在数据中心行业的特性应用场景下,容性带载能力及突加重载能力一直是行业研究和攻克的应用难题,腾讯IDC技术专家将从测试和技术研究的角度来剖析其中的奥妙...

3004
来自专栏农夫安全

啥?Metasploit里面也有菜刀~~~

利用msf破解一句话木马 0x01 前言 本文为智者楚轩原创文章 事情要从下午说起,同学突然叫我说,xxx,我扫到一个老师在电脑上自己搭建的服务器,上面有他...

4859
来自专栏FreeBuf

Quantum – NSA最强大的互联网攻击工具

作者 小禾才露尖尖角54 wired最近刊登了一篇详细描述有关Quantum的好文,披露了一些有关NSA Quantum系统的细节,其攻击能力令人印象深刻。 ...

19610
来自专栏FreeBuf

微软:暴力破解面前,增强密码复杂性基本没用

我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性...

2646
来自专栏FreeBuf

一次对支付宝木马的分析溯源之旅

0x00 引子 与网络的黑暗面斗争中,我们看到太多的年轻人陷入黑产的陷井,少数人暴发横财及时收手还能全身而退,多数人身处产业链的底端所得不多却受牢狱之灾。年轻...

2396
来自专栏WindCoder

python版成绩查询又前进一步

学了点python后,看到各种爬虫教程,原本想做个统计平均学分绩的小爬虫。当真正动手时,发现了各种难题,由于网上多数都是没有验证码的模拟登录,而方正教务系统却是...

2403
来自专栏黑白安全

快速想出一个好记又破解不了的密码

现在的网络不断发展,越来越多的人会注册一些网站或者软件的账户,但是注册的账号可是一个大学问,我们既要方便自己记忆,同时又可以不被别人破解,这本身就是一个会比较矛...

5875
来自专栏FreeBuf

泄露数据 | 黑客论坛Nulled.IO用户都用哪些密码?

2013年,国外老牌技术新闻和信息分享网站Ars Technica做了一个有趣的实验。他们从互联网下载了一份被黑客公布在网上的社工数据,包含16000个用户的账...

2669

扫码关注云+社区

领取腾讯云代金券