DoSECU 安全報道 8月3日消息：安全研究專家在使用保證互聯(lián)網(wǎng)通信安全的SSL（加密套接字協(xié)議層）加密協(xié)議的軟件中發(fā)現(xiàn)了一些嚴重的漏洞。

周四在拉斯維加斯舉行的黑帽大會上，安全專家公布了許多被用來威脅網(wǎng)站和瀏覽器之間網(wǎng)絡流量安全的攻擊類型。

專家稱，此類攻擊可以讓攻擊者竊取密碼，劫持網(wǎng)絡銀行界面或者對包含惡意代碼的火狐瀏覽器進行升級。

擺在面前的問題是許多瀏覽器執(zhí)行的都是SSL加密協(xié)議，在X.509公共密鑰基礎架構系統(tǒng)中也使用SSL加密協(xié)議來管理數(shù)字證書，以此來判斷網(wǎng)站是否值得信賴。

一位名為Moxie Marlinspike的安全專家向大家展示了使用一種零終止證書來截取SSL流量的方法。為了向大家展示攻擊的發(fā)動過程，Marlinspike必須首先在本地區(qū)域網(wǎng)上安裝它的軟件。安裝成功后，它會偵查SSL流量并出示他的零終止證書，以此來截取客戶端和服務器之間的網(wǎng)絡通信。此類中間人攻擊是很難被發(fā)現(xiàn)的。

Marlinspike展示的攻擊方法與另一種常見的攻擊方式-SQL注入式攻擊非常類似，SQL注入式攻擊是將專門編譯的數(shù)據(jù)發(fā)送到打算誘騙的程序上，欺騙用戶去做正常不應該去做的事情。他還發(fā)現(xiàn)如果他為自己包含零字符串的互聯(lián)網(wǎng)域創(chuàng)建證書（通常表示為a/0),一些程序就會曲解證書。

這是因為一些程序在看到零字符時就會停止閱讀文本文件。這樣以www.paypal.com