专业网站建设品牌,十四年专业建站经验,服务6000+客户--广州京杭网络
免费热线:400-683-0016      微信咨询  |  联系我们

急得跳脚?为HTTPS网站攻击头疼?这里有防护部署等您查收!

当前位置:网站建设 > 优化推广
资料来源:网络整理       时间:2023/3/22 3:37:34       共计:3587 浏览

   转自sinesafe,作者:sineadm,如有侵权请及时联系

   HTTPS网站站点是通过独特的一个端口来进行加密传输,防止传输中的信息内容被窃取,一般用HTTPS协议做网站站点的,一般是大型网站站点,以及支付网站站点,用户使用者数值数据比较重要的一些网站站点。

  HTTPS证书要单独购买,什么是HTTPS呢?

   超文本信息传输安全协议( HTTPS )是一种通过计算机互联网网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数值数据包。

  

   HTTPS 建设开发的主要目的,是供应提供对网站站点we服务器的身份认证,保护交换数值数据的隐私与完整性。

   网站站点被攻击原理如下图所示:

  

   1、首先攻击者会对目标网站站点以及we服务器进行中间人攻击,从而让用户访问量流量走自己的电脑(这与burpsuit 的原理根本就是一样的)。

  

   2、此时客户使用者端便会与攻击者的we服务器进行https加密通信,网站站点源we服务器也会与攻击者进行https证书加密通信。

   3、虽然用户使用者此时进行的是https协议通信,但是所有的数值数据传输对于攻击者来说都是明文的,跟ARP中间人攻击是一个道理,伪造IP来进行攻击,这个是伪造了证书。

  

   当https网站站点被攻击时,我们来看一下:

  攻击者是如何攻击的

   分8个步骤,我来一一列举,大家看一下:

   一、第一步最重要的是要先确立建立TCP的三次握手连接,连接确立建立之后由客户使用者端向查看浏览器发起https连接的协议请求。

  

   二、连接请求成功之后,client客户使用者端会发送自己所有支持的ciphersuit,包括包含:对称加密算法规则、非对称加密算法规则、单向加密算法规则、伪随机数算法规则。

   给目标we服务器进行加密算法规则的协商,we服务器会自动选择他们俩都支持的最安全的ciphersuit 协议进行加密安全通信。

  

   三、然后we服务器会发送自己的https证书到客户使用者端(证书用于验证we服务器的身份,同时也包含了we服务器以及网站站点的各种同类相关信息)。

   四、客户使用者端在接收到we服务器的证书之后,会验证该https证书是不是是否是由本地根证书中所信任的颁发机构颁发的证书。证书里面会有证书颁发机构的私钥签名。

  

   只有正确的私钥才能被客户使用者端保存的公钥解密,这就保证了证书的安全性;证书中还会存在we服务器的公钥,只有拥有私钥的we服务器才能解密公钥加密的信息内容,这就保证了后续网站站点之间传输过程的安全性。

   五、验证了证书的合法性之后,客户使用者端会使用刚才协商的伪随机数算法规则生成对称密钥,然后将对称密钥通过we服务器的公钥进行加密之后,再发送给we服务器。

   六、we服务器接收到公钥加密的信息内容之后,会用自己的私钥进行解密,从而获得对称密钥,此时通信双方都得到了对称密钥就可以进行加密通信了。

  

   七、通信时客户使用者端会先将数值数据用对称密钥加密,然后又进行hash计算,然后用we服务器的公钥将得到的hash值进行加密,将该hash值和加密之后的密文发送给server端,发送数值数据过程类似hash

  ( private_encrypt ( data ) ) +

   public_encrypt ( hash ) --> server。

  

   八、we服务器接收到客户使用者端传来的数值数据包之后,会先用自己的私钥解密密文得到 hash1 ,然后用hash1与没有加密的 hash 进行比较,相同则代表传输的数值数据没有被篡改,然后再用之前协商的单向加密算法规则解密 hash,用对称密钥解密密文得到data server发送数值数据过程类似:hash

   ( private_encrypt

  ( data ) ) +

   private_encrypt ( hash ) --> client。

  那么网站站点被攻击该如何防护呢?

   首先要配置最安全的 https。

  

   再一个就是网站站点用到的所有密码不仅要靠https协议来加密进行传输,在前端也要使用加密控件对密码进行加密,这样就算被降级攻击也拿不到明文的密码,破解也需要很长时间。

   最后别忘了we服务器端防御:

   配置路由规则,绑定 IP/MAC 以防被 ARP 欺骗。谨慎打开查看浏览器提醒证书错误的网站站点,例如出现证书报错或者其他提示时,一定要谨慎。

   所以说,无论是在工作还是在家,互联网网络安全至关重要!

   声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。信息文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

   精彩在后面

  

   Hi,我是超级盾

   更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!

   超级盾:从现在开始,我的每一句话都是认真的。

   如果,你被攻击了,别打110、119、120,来这里看着就行。

   截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。

版权说明:
本网站凡注明“广州京杭 原创”的皆为本站原创文章,如需转载请注明出处!
本网转载皆注明出处,遵循行业规范,如发现作品内容版权或其它问题的,请与我们联系处理!
欢迎扫描右侧微信二维码与我们联系。
·上一条:网站怎么样设计才能够有吸引力? | ·下一条:网站开发中常见的数据库类型有哪些?该如何选择?

Copyright © 广州京杭网络科技有限公司 2005-2025 版权所有    粤ICP备16019765号 

广州京杭网络科技有限公司 版权所有