使用不可信HTTPS证书的服务器到服务器的攻击向量?
使用不可信HTTPS证书的服务器到服务器的攻击向量?
提问于 2016-02-22 20:07:59
我注意到大量服务器端HTTP客户端库默认接受不可信的TLS通信。例如,从节点的请求文档中:
strictSSL-如果为真,则要求SSL证书是有效的。
这是false,除非设置,换句话说,默认接受不受信任的SSL证书。我不是专门按要求挑选的,在这种行为方面,我绝不是孤军奋战。
使用不受信任的SSL证书的服务器到服务器通信(通常是REST )的明显攻击向量是什么?
例如,DNS缓存中毒可以用使用自签名证书的攻击者替换来替换真正的端点。
还有其他人吗?
回答 1
Security用户
发布于 2016-02-22 20:17:27
当客户端不检查它所连接的服务器的SSL证书时,这将为中间人(MITM)攻击打开大门。顾名思义,这种类型的攻击是由客户端和服务器之间的人发起的。在实践中,有许多情况下可以发生这种情况。有关更多信息,请参见在现实中,一个处于中间进攻的人是如何发生的?。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/115427
复制相关文章
相似问题
腾讯云开发者
