基于SSLStrip的HTTPS会话劫持被引量：9

HTTPS Session Hijacking Based on SSLStrip

导出

摘要文中在研究了目前广泛应用的HTTPS协议的基础上,分析了HTTPS会话劫持的手段和方法,并重点分析和揭示了一种基于中间人攻击(MITM)的HTTPS会话劫持方法—SSLStrip。进而提出了关于HTTPS协议本身以及所有通过HTTPS进行涉密交互的客户端的安全性问题,并提供了针对SSLStrip可行的防范措施。 This article analyzes the extensively-employed HTTPS protocol and discusses the common HTTPS hijacking methods and techniques. A specific practical way SSLStrip, which is based on man-in-the-middle technique（MITM）, is proposed and analyzed in detail. The article exposes the obscure security problems concerned with https-based communication, which is generally believed to be quite safe, and provides some defending measures against SSLStrip attack.

作者张恒伽施勇薛质

机构地区上海交通大学信息安全工程学院

出处《信息安全与通信保密》 2009年第10期80-82,共3页 Information Security and Communications Privacy

关键词 SSLStrip HTTPS 信息安全中间人攻击 SSLStrip HTTPS information security MITM

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献7

1Rescorla E. HTTP Over TLS[S]. RFC 2818, New York: IETF, 2000.
2Dierks T. The TLS Protocol Version 1.0[S]. RFC 2246, New York: IETF, 1996.
3Stuart McClure, Joel Scambray, George Kurtz. Hacking Exposed Fifth Edition[M]. 5th edition. [s.l.] The McGraw-Hill Companies, 2005: 591- 593.
4周萍,熊淑华,赵婧,李松平.网关模式下的HTTPS协议监控[J].信息技术与信息化,2007(6):45-46. 被引量：5
5Moxie Marlinspike. New Tricks For Defeating SSL In Practice Black Hat Conference[EB/OL]. [2009-02-02]. http: //www.blackhat.com/presentations/bh-dc- 09/Marlinspike/.
6刘大明.基于SSL安全通信的自防御网络体系的研究[J].通信技术,2008,41(12):325-327. 被引量：4
7贾静,薛质.SSL中间人攻击原理与防范[J].信息安全与通信保密,2007,29(4):103-105. 被引量：13

二级参考文献12

1熊艳,覃俊.SSL协议及其几个安全性问题[J].中南民族大学学报（自然科学版）,2005,24(3):85-88. 被引量：7
2白志中,罗贇骞,夏靖波,赵锡溱,张瑞武.基于SSL协议的嵌入式WEB系统安全性研究与实现[J].电光与控制,2006,13(3):60-64. 被引量：4
3Rich Larsen. An Overview of the SSL Protocol and Application to Virtual Private Networks[C]. SANS GIAC/ GSEC Practical Version 1.4b, September 29, 2003.
4Stallings W. Cryptography and Network Security: Principles and Practice[M]. Prentice Hall, 1998.
5Andrew Harding. SSL Virtual Private Networks [J]. Computers and Security, 2003, 20 (5): 416-420.
6Andrew S.Tanenbaum.计算机网络[M].第4版,清华大学出版社,2004.
7[1]Eric Rescorla.SSL and TLS,Addison-Wesley Professional.2000.10.
8[2]Michael E.Principles of Information Security.2003.7.
9Eric Rescorla.SSL and TLS.Designing and Building Secure Systems,2001.
10CCITT.Recommendation X.509.The Directory-Authentication Framework.1988.

共引文献18

1陈昱,江兰帆.应用OpenSSL对SSL协议中间人攻击的实现[J].计算机安全,2009(3):69-72. 被引量：1
2程宇贤,袁艺,薛质.基于硬件的网银认证系统安全性研究[J].信息安全与通信保密,2009,31(10):95-98. 被引量：4
3康荣保,张玲,兰昆.SSL中间人攻击分析与防范[J].信息安全与通信保密,2010,7(3):85-87. 被引量：10
4罗轶,黄征.网关模式下的SSL攻击原理与防范[J].信息安全与通信保密,2011,9(4):50-52.
5徐识溥,陈建林,赵京音,曹开雄,王运圣.HTTPS协议在单点登录系统的应用[J].微型电脑应用,2012,28(1):40-42. 被引量：1
6欧阳江,李勍,刘嘉勇.SSL-Webmail中间人监测技术研究[J].信息安全与通信保密,2012,10(5):69-71.
7李星伟,沈磊,曾磐.基于数据包的中间人攻击分析[J].福建电脑,2013,29(2):91-92.
8蔡盛勇,吴静.基于SSL协议的智能电视支付安全研究[J].通信技术,2013,46(10):41-44. 被引量：1
9徐识溥,陈建林,程彬彬,黄钊贞,祝国栋,朱建华,赵京音.基于HTTPS协议的单点登录系统在农业技术综合知识库建设中的应用[J].农学学报,2014,4(1):94-98. 被引量：1
10王巍,曾华朴,黄艳洋.基于模型检测的SSL协议形式化验证[J].集美大学学报（自然科学版）,2014,19(5):386-392.

同被引文献17

1樊时凯,王敏.SSL通信的中间人攻击与防范[J].信息网络安全,2004(9):57-58. 被引量：4
2Dierks T., et al. The TLS Protocol Version 1.2 [ S ]. RFC 5246,New York:IETF,2008.
3Eric Rescorla. SSL and TLS: Designing and Building Secure Systems[ M] .AW Educational Publishers Inc 2001.
4Moxie Marlinspike. New Tricks for Defeating SSL in Practice [ EB/OL ]. http ://www. blackhat, com/pre- sentations/bh- dc - 09/Marlinspike/, 2009.
5GM/T0023-2014,SSLVPN技术规范[S].国家密码管理局.2014.
6周萍,熊淑华,赵婧,李松平.网关模式下的HTTPS协议监控[J].信息技术与信息化,2007(6):45-46. 被引量：5
7康荣保,张玲,兰昆.SSL中间人攻击分析与防范[J].信息安全与通信保密,2010,7(3):85-87. 被引量：10
8徐大明.有关语言经济的七个问题[J].云南师范大学学报（哲学社会科学版）,2010,42(5):7-15. 被引量：52
9罗民,张晋军,谢欧航,黄贺臣.新汉语水平考试(HSK)海外实施报告[J].中国考试,2011(4):17-21. 被引量：26
10石利平.ARP欺骗研究综述[J].计算机与现代化,2011(6):193-198. 被引量：8

引证文献9

1周天勇.论改革开放以来政府主导对中国经济的推动作用(英文)[J].中国特色社会主义研究,2010(S1):49-62.
2于德山.我国网络视频传播的崛起与当代视觉文化生态[J].中国电视,2009(8):34-38. 被引量：7
3任世平,韩军.欧盟竞争与创新框架计划[J].全球科技经济瞭望,2009,24(9):56-59.
4林国荣.法学教育的困境及反思[J].法制与社会（旬刊）,2009(29):308-309. 被引量：1
5苏翠红,李笑天.液相色谱和质谱联用技术及其在代谢组学中的应用[J].中华妇幼临床医学杂志（电子版）,2010,6(1):62-64. 被引量：6
6阳风帆,刘嘉勇,汤殿华.基于脚本注入的HTTPS会话劫持研究[J].信息网络安全,2015(3):59-63. 被引量：1
7许辉,周志洪,李建华,姚立红.基于中间人攻击的SSL VPN运行参数深度检测[J].信息安全与通信保密,2015,13(1):95-98.
8赵国锋,陈勇,王新恒.针对HTTPS的Web前端劫持及防御研究[J].信息网络安全,2016(3):15-20. 被引量：15
9陈鹏.当代中国语言产业发展的三次浪潮[J].语言战略研究,2017,2(5):20-28. 被引量：13

二级引证文献43

1周敏,何谦.视觉生产的狂欢与吊诡——论网络时代的视觉文化传播的价值与挑战[J].浙江传媒学院学报,2010,17(3):40-44. 被引量：4
2茹秀华,吴蔚.网络视频对当代大学生德育的影响[J].电影文学,2010(7):159-160. 被引量：2
3鲍仕莲.视觉文化研究综述[J].新闻世界,2011(6):244-245. 被引量：2
4李静一.司法考试与民事诉讼法本科教学改革[J].理论与现代化,2011(5):96-101. 被引量：2
5武汉良,吉萍,毛贵元,陈本超,罗磊,蔡光明.基于LC-MS的代谢组学方法在中药研发中的应用[J].中国医药技术经济与管理,2012(4):68-71. 被引量：1
6郭俊国,颜廷芹,毕宏生,解孝锋.代谢组学在中西医结合眼科研究中的应用与展望[J].世界中西医结合杂志,2013,8(3):315-317. 被引量：1
7邢晓丹.钩吻素子在大鼠肝微粒体中的酶促反应动力学研究[J].海峡药学,2013,25(8):33-36. 被引量：6
8于德山.突发事件的新媒体取向及其规制[J].重庆社会科学,2015(2):75-81. 被引量：2
9王龙霞,赵先哲,乔伟伟.代谢组学在自发性疾病模型动物遗传质量监测和饲料开发中的应用[J].实验动物与比较医学,2015,35(3):258-264.
10孙海涛,杨志强,李葆红,陈德展.基于LC/MS的代谢组学数据并行处理研究[J].质谱学报,2015,36(6):535-542. 被引量：2

1倪健寒,韩啸.SSLStrip攻击原理与防范[J].电脑知识与技术,2016,12(3X):68-71.
2罗轶,黄征.网关模式下的SSL攻击原理与防范[J].信息安全与通信保密,2011,9(4):50-52.
3李响.Web前端安全[J].科技创新与应用,2016,6(23):92-92. 被引量：3
4刘桂泽,耿琛.无线网络的中间人攻击研究[J].信息安全研究,2016,2(4):361-366. 被引量：5
5李艳平.抗中间人攻击的身份认证协议[J].信息网络安全,2009(4):45-47.
6臧晓晗.终端接入控制技术[J].网管员世界,2010(21):15-16. 被引量：1
7段芃芃,刘锂.基于ARP协议的MITM攻击与防范[J].考试周刊,2008,0(32):119-120.
8刘承凌,刘发贵.基于Samba的文件共享及安全认证机制的研究[J].计算机应用与软件,2006,23(1):122-124. 被引量：5
9张爱科.SSL VPN客户端的安全性分析及解决方案探讨[J].柳钢科技,2009(1):26-27.
10朱琦.公共云计算环境下用户隐私保护方案[J].计算机光盘软件与应用,2012,15(18):163-163.

信息安全与通信保密

2009年第10期

浏览历史

内容加载中请稍等...

基于SSLStrip的HTTPS会话劫持被引量：9

参考文献7

二级参考文献12

共引文献18

同被引文献17

引证文献9

二级引证文献43

相关作者

相关机构

相关主题

浏览历史

基于SSLStrip的HTTPS会话劫持 被引量：9

参考文献7

二级参考文献12

共引文献18

同被引文献17

引证文献9

二级引证文献43

相关作者

相关机构

相关主题

浏览历史

基于SSLStrip的HTTPS会话劫持被引量：9