>> サイバーニュース > DROWNアタック, またはHTTPS通信を傍受する方法
サイバーニュース

ドローンアタック, またはHTTPS通信を傍受する方法

  |  Last Update:  |  0 コメントコメント  

悪名高いHeartbleedバグの周りで物事が静かになったちょうどその時, 新しい脆弱性が発生し、私たちを噛みます. 問題は確かにかみ傷がどれほど痛いのかということです.

良い, かなりたくさん. セキュリティ研究者によると, 溺れる, 問題の新しい脆弱性, HTTPSWebサイトの3分の1に影響します, またはおおよそ 33% サーバーの. それを開示した研究者のグループによって、それは「新しいクロスプロトコル攻撃」として説明されています. ハートブリードによるダメージと比較すると、その数はそれほど多くはありませんが, それはまだ厄介なものです.

詳細については ハートブリードバグ

DROWNの脆弱性の説明: CVE-2016-0800

最初に言及するのは、DROWN攻撃がCVE-2016-0800として識別されていることです。. この記事が書かれている時点で, cve.mitre.orgには公式の説明はありません.

DROWNは、SSLv2を使用するサーバーを危険にさらすOpenSSLの脆弱性です。. この脆弱性を悪用する攻撃は、WebサイトのHTTPS通信の復号化と暗号化されたデータの盗難につながります。.

DROWNとはどういう意味ですか?

頭字語は 廃止されたeNcryptionと弱体化されたeNcryptionを使用したRSAの復号化. それはによって識別されました のチーム 15 セキュリティの専門家 いくつかの大学から.

DROWNが攻撃者によって展開される理由?

ユーザーとサーバー間の通信を傍受し、途中で機密データを盗む可能性があるため. これは何を意味するのでしょうか? ユーザー名, パスワード, クレジットカード番号, メール, あらゆる種類の文書, インスタントメッセージが盗まれる可能性があります. DROWN攻撃の別の結果は、攻撃者が安全なものになりすますことです。 (HTTPS) ウェブサイトとユーザーに表示されるコンテンツの変更.

遠ざけるためのその他のエクスプロイト: 焼き芋

DROWN攻撃に対して脆弱なサイト?

脆弱なWebサイトのリストhttps://drownattack.com/top-sites.htmlはかなり大きいです. AlexaTopの何百ものドメイン 10,000 MitMに対して脆弱であると見なされています (真ん中の男) 3月にDROWN攻撃が一般に公開される直前の攻撃 1. まとめると, ウェブサイト, メールサーバー, さらに、TLSに依存するサービスはDROWN攻撃を受けやすい. 不運にも, 多くの人気のあるサイトが脆弱性のリスクにさらされています, Yahooを含む, アリババ, Flickr, 加えて、人気のあるセキュリティベンダーのWebサイト.

あなたのウェブサイトは溺れることができますか?

DROWN攻撃はTLSに基づいています (トランスポート層のセキュリティ). TLSはSSLよりも優れていると考えられているプロトコルです (セキュア・ソケット・レイヤー). でも, TLSとSSLはどちらも、HTTPS接続を生成する同じRSA暗号化セッションキーを使用します.

それはどういう意味ですか?

まだSSLv2とTLSを同時に使用しているサーバーは、エクスプロイトの傾向があります, したがって、SSLv2を必ず無効にしてください. でも, 追加のサーバー設定により、Webサイトが脆弱性にさらされる可能性があります, ウェブサイトがTLSのみを採用している場合でも.

これが研究者の言うことです:

SSLv2をサポートするサーバー上の他の場所でサイトの証明書またはキーが使用されている場合も、同様にリスクが高くなります。. 一般的な例にはSMTPが含まれます, IMAP, およびPOPメールサーバー, 特定のWebアプリケーションに使用されるセカンダリHTTPSサーバー.

もう1つの大きな危険は、RSAキーの「リサイクル」から生じます。これは、再利用によってサーバーがそのような攻撃を受けやすくなるためです。. 例えば, あなたのウェブサイトは危険にさらされています, 管理者がSSLv2プロトコルを削除したが、新しいRSAキーでTLSプロトコルを保護しなかった場合.

についてもっと読む RSAキーの驚くべき再利用

あなたのウェブサイトがDROWN攻撃を受けにくいことを確認するため, 使用 DROWNチェッカー.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. アップル, マイクロソフト, およびTLSのGoogleDropサポート 1.0 およびTLS 1.1 最大のテクノロジー企業3社, アップル, マイクロソフト, とグーグル,...
  2. 溺死に対してリリースされた脆弱性検出ツール, ハートブリード 脆弱性は、ユーザーを危険にさらす一般的で危険な問題です...
  3. Adobeパッチ 112 最新のパッチパッケージの脆弱性 (CVE-2018-5007) アドビは、問題に対処する最新のパッチ パッケージをリリースしました。.
  4. のための最も安全なブラウザはどれですか 2020 –クローム, Firefox, 角, サファリ? 市場シェア セキュリティ評価の更新頻度 セキュリティ プラグイン セキュリティ機能...
  5. CVE-2020-13777: GnuTLSの脆弱性 2 年 CVE-2020-13777はGnuTLSの脆弱性です, 広く採用されている, 開いた...
  6. 暗号発育阻害 – 攻撃者’ 最新の回避テクニック セキュリティ会社が使用する検出メカニズムの回避は常に...
  7. 200,000 デバイスはまだハートブリードバグにさらされています It has now been discovered that even after a year...
  8. SSLについて知っておくべきことはすべてここにあります 2019 SSL証明書とは何か疑問に思いますか? And why...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します