HTTPS協(xié)議中間人攻擊的實現(xiàn)與防御.pdf

1、隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，人們的工作和生活已經(jīng)漸漸的離不開網(wǎng)絡，電子商務活動也隨之日益增多，如何保護電子商務以及其他敏感數(shù)據(jù)在網(wǎng)絡上的安全傳輸問題已經(jīng)成為了目前非常重要的課題。HTTPS協(xié)議正是在這個環(huán)境下被推出，一經(jīng)推出用戶便以幾何級數(shù)增長。但是HTTPS協(xié)議本身也不可避免的存在著一些缺陷，隨著使用的越來越廣泛，針對該協(xié)議的攻擊手段也隨之層出不窮，這些攻擊嚴重威脅著電子商務的發(fā)展。其中中間人攻擊就是最為典型的一種攻擊類型，如何防范中間

2、人攻擊同時也成為了當前最為緊迫的課題。
　　本文對HTTPS協(xié)議以及SSL協(xié)議及其握手層和記錄層的安全性進行了深入的分析，并指出了其安全缺陷。然后從密碼破譯和中間人攻擊的角度分別介紹了針對HTTPS協(xié)議的攻擊手段，并重點分析了三種針對HTTPS協(xié)議的中間人攻擊:SSLsniff、 SSLrenegotiation、SSLstrip。
　　鑒于SSLstrip攻擊是針對用戶使用習慣的一種攻擊方式，其應用較為廣泛，因此我們重點對

3、SSLstrip攻擊分別在Linux操作系統(tǒng)和windows操作系統(tǒng)下進行了具體實現(xiàn)。對系統(tǒng)的測試表明:該系統(tǒng)能成功截獲幾乎所有大型的郵箱門戶網(wǎng)站的登陸帳號和密碼，攻擊成功率極高。
　　本文另一個重點是針對目前SSLstrip攻擊防御的學術研究較少，因此我們對SSLstrip攻擊提出了一種具體保護措施，并初步做成了一個基于瀏覽器歷史的安全工具HistoryProxy。我們針對HistoryProxy的評估表明:它能夠在可接受的系統(tǒng)