Điểm yếu bảo mật https

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Điểm yếu bảo mật https

[Discussion] Điểm yếu bảo mật https	08/04/2012 08:44:46 (+0700) \| #1 \| 261016

Gió Lào
Member

Joined: 31/01/2011 04:37:02
Messages: 9
Offline

Hii các bác !

Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !

Thân!!!

[Discussion] Điểm yếu bảo mật https	08/04/2012 08:54:18 (+0700) \| #2 \| 261017

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Gió Lào wrote:

Hii các bác !

Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !

Kết quả của việc 'tấn công' này là gì?

What bringing us together is stronger than what pulling us apart.

[Discussion] Điểm yếu bảo mật https	08/04/2012 08:59:33 (+0700) \| #3 \| 261018

Gió Lào
Member

Joined: 31/01/2011 04:37:02
Messages: 9
Offline

conmale wrote:

Gió Lào wrote:

Hii các bác !

Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !

Kết quả của việc 'tấn công' này là gì?

Em nghĩ kết quả ở đây là làm vô hiệu hoá chữ "s" trong https !

Thân!!!

[Discussion] Điểm yếu bảo mật https	08/04/2012 09:55:06 (+0700) \| #4 \| 261021

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Gió Lào wrote:

conmale wrote:

Gió Lào wrote:

Hii các bác !

Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !

Kết quả của việc 'tấn công' này là gì?

Em nghĩ kết quả ở đây là làm vô hiệu hoá chữ "s" trong https !

Làm sao mà vô hiệu hoá chữ "s" được. Hơn nữa, chữ "s" được tạo ra nhằm mục đích gì mà vô hiệu hoá nó?

What bringing us together is stronger than what pulling us apart.

[Discussion] Điểm yếu bảo mật https	08/04/2012 10:06:49 (+0700) \| #5 \| 261022

Gió Lào
Member

Joined: 31/01/2011 04:37:02
Messages: 9
Offline

Theo em hiểu thì chữ "s" nhằm thêm vào một phương thức xác thực ( Certificate) để mỗi bên chắc chắn rằng mình đang thương lượng đúng đối tượng. Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực. Em nghĩ như vậy là vô hiệu hoá chữ "s" chứ ạ ??? ( Vì lúc đó chữ s ko có tác dụng nữa rồi )

Thân!!!

[Discussion] Điểm yếu bảo mật https	08/04/2012 10:17:43 (+0700) \| #6 \| 261023

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Gió Lào wrote:

Theo em hiểu thì chữ "s" nhằm thêm vào một phương thức xác thực ( Certificate) để mỗi bên chắc chắn rằng mình đang thương lượng đúng đối tượng. Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực. Em nghĩ như vậy là vô hiệu hoá chữ "s" chứ ạ ??? ( Vì lúc đó chữ s ko có tác dụng nữa rồi )

Giả mạo thì làm sao gọi là vô hiệu hoá được? Đồ giả mạo là đồ giả mạo và nó không thể vô hiệu hoá cái thật. Cho dù có giả mạo đi chăng nữa, đồ giả mạo không bao giờ có thể triêt tiêu giai đoạn chứng thực cả. Bồ đang cố làm một việc mà bồ không hiểu tính chất của nó. Hãy quay lại căn bản HTTPS là gì đi đã.

What bringing us together is stronger than what pulling us apart.

[Discussion] Điểm yếu bảo mật https	08/04/2012 10:37:57 (+0700) \| #7 \| 261024

Gió Lào
Member

Joined: 31/01/2011 04:37:02
Messages: 9
Offline

conmale wrote:

Gió Lào wrote:

Theo em hiểu thì chữ "s" nhằm thêm vào một phương thức xác thực ( Certificate) để mỗi bên chắc chắn rằng mình đang thương lượng đúng đối tượng. Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực. Em nghĩ như vậy là vô hiệu hoá chữ "s" chứ ạ ??? ( Vì lúc đó chữ s ko có tác dụng nữa rồi )

Giả mạo thì làm sao gọi là vô hiệu hoá được? Đồ giả mạo là đồ giả mạo và nó không thể vô hiệu hoá cái thật. Cho dù có giả mạo đi chăng nữa, đồ giả mạo không bao giờ có thể triêt tiêu giai đoạn chứng thực cả. Bồ đang cố làm một việc mà bồ không hiểu tính chất của nó. Hãy quay lại căn bản HTTPS là gì đi đã.

Hi... Tks bác ! Để e nghiên cứu thêm ... Thật sự là đang rất , rất mơ hồ smilie

Thân!!!

[Discussion] Điểm yếu bảo mật https	08/04/2012 11:51:27 (+0700) \| #8 \| 261025

jigorokano
Member

Joined: 05/04/2012 02:00:56
Messages: 4
Offline

theo cách hiểu của mình thì trong tấn công man in the middle attack, thì đầu tiên attacker sẽ lấy certificate của server, sau đó, khi victim vào trang web https, thì sẽ có cảnh báo của trình duyệt về độ an toàn của website, sẽ xác nhận user có muốn lấy certificate từ server hay ko ( thật ra là lấy từ máy của attacker ), như vậy là thông tin đc mã hoá từ victim tới attacker và sau đó giữa attacker tới server.
mọi người xem kiến thức của mình có sai hay gì ko, bổ sung thêm nhé smilie

[Discussion] Điểm yếu bảo mật https	08/04/2012 13:29:38 (+0700) \| #9 \| 261028

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

Gió Lào wrote:

Hi... Tks bác ! Để e nghiên cứu thêm ... Thật sự là đang rất , rất mơ hồ

Một chuyện bản thân mình còn mơ hồ lại mang ra thảo luận với người khác thì sẽ đi đến đâu đây ?. Nếu mình không biết thì để title là hỏi đáp như vậy có ổn hơn không ?.

Tìm hiểu xem cái HTTP là gì trước.
Sau đó tìm hiểu cái SSL/TLS.
Bạn nên biết ngoài HTTPS còn có STMPS, FTPS..v....v...

Có một công thức mình tự chế :

PROTOCOL + SSL/TLS = PROTOCOL[S]

[S] <=> SSL/TLS.

SSL : Secure Socket Layer.
TLS : Transport Layer Security.

while(1){}

[Discussion] Điểm yếu bảo mật https	09/04/2012 08:54:55 (+0700) \| #10 \| 261056

Mask__
Member

Joined: 16/02/2012 17:28:30
Messages: 58
Location: shinobi
Offline

@jigorokano: Đọc thêm về cái gọi là "Man in the middle" : http://en.wikipedia.org/wiki/Man-in-the-middle_attack
Cậu xem lại cái ví dụ về "đưa thư " là đơn giản và dễ hiểu nhất.

Tình cờ là hình hài của chúa khi vi hành...

[Discussion] Điểm yếu bảo mật https	11/04/2012 09:53:30 (+0700) \| #11 \| 261177

xanhkma
Member

Joined: 31/12/2010 09:45:15
Messages: 12
Offline

Gió Lào wrote:

Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực)

Một số ý kiến của riêng mình:

Khi có 1 cái cert lạ trình duyệt sẽ cảnh báo ngay(rõ ràng hơn nếu là cert của bạn tạo). Việc giả mạo cert này đối với các server mà có con root nằm sẵn trong kho của win chắc chắn ko đc.
Nếu áp dụng với các server do các tổ chức CA của VN mình cấp như vnpt, fpt,bk... thì có thể sử dung đc với các trg hợp chưa trust con MIC.
Còn trg hợp khi client đã kết nới với server dùng ssl thì mình nghĩ khó có thể tấn công trừ khi cert của server lớm(hầu như ko có).

Go to:

Users currently in here
1 Anonymous