HTTPS协议中间人攻击的实现与防御

论文摘要

随着互联网技术的飞速发展,人们的工作和生活已经渐渐的离不开网络,电子商务活动也随之日益增多,如何保护电子商务以及其他敏感数据在网络上的安全传输问题已经成为了目前非常重要的课题。HTTPS协议正是在这个环境下被推出,一经推出用户便以几何级数增长。但是HTTPS协议本身也不可避免的存在着一些缺陷,随着使用的越来越广泛,针对该协议的攻击手段也随之层出不穷,这些攻击严重威胁着电子商务的发展。其中中间人攻击就是最为典型的一种攻击类型,如何防范中间人攻击同时也成为了当前最为紧迫的课题。本文对HTTPS协议以及SSL协议及其握手层和记录层的安全性进行了深入的分析,并指出了其安全缺陷。然后从密码破译和中间人攻击的角度分别介绍了针对HTTPS协议的攻击手段,并重点分析了三种针对HTTPS协议的中间人攻击：SSLsniff, SSL renegotiation、SSLstrip。鉴于SSLstrip攻击是针对用户使用习惯的一种攻击方式,其应用较为广泛,因此我们重点对SSLstrip攻击分别在Linux操作系统和windows操作系统下进行了具体实现。对系统的测试表明：该系统能成功截获几乎所有大型的邮箱门户网站的登陆帐号和密码,攻击成功率极高。本文另一个重点是针对目前SSLstrip攻击防御的学术研究较少,因此我们对SSLstrip攻击提出了一种具体保护措施,并初步做成了一个基于浏览器历史的安全工具HistoryProxyo我们针对HistoryProxy的评估表明：它能够在可接受的系统开销下,保护用户免受SSLstrip攻击,而且不需要服务器端或者第三方认证的支持。

论文目录

摘要

Abstract

第一章绪论

1.1 引言

1.2 HTTPS协议安全性分析

1.2.1 HTTPS协议结构

1.2.2 HTTPS协议的安全性

1.3 SSL协议安全性分析

1.3.1 SSL握手协议的安全性

1.3.2 SSL记录协议的安全性

1.3.3 SSL协议的具体实现流程

1.3.4 SSL协议的安全分析

1.4 从密码破译的角度实现对SSL协议的攻击

1.5 国内外研究现状

1.6 本文的章节安排

1.7 本章小结

第二章针对HTTPS协议的中间人攻击

2.1 SSLsniff攻击

2.2 SSL renegotiation攻击

2.3 SSLstrip攻击

2.4 本章小结

第三章 SSLstrip攻击的实现

3.1 SSLstrip攻击系统的技术难点和创新点

3.1.1 SSLstrip攻击系统的技术难点

3.1.2 SSLstrip攻击系统的技术创新点

3.2 SSLstrip攻击系统的组成和特点

3.2.1 系统组成

3.2.2 系统特点

3.3 系统技术实现

3.3.1 SSLstrip攻击在Linux操作系统下的实现

3.3.2 SSLstrip攻击从Linux操作系统到Windows操作系统的过渡

3.3.3 SSLstrip攻击在Windows操作系统下的实现

3.4 系统评估

3.4.1 攻击效果评估

3.4.2 综合应用多种协议攻击手段

3.4.3 从针对FireFox浏览器到IE浏览器的攻击实现

3.4.4 灵巧的模块化设计

3.5 防范SSLstrip攻击的方法

3.5.1 防范ARP欺骗攻击的方法

3.5.2 防范DNS欺骗攻击的方法

3.5.3 防范SSLstrip攻击模块的方法

3.6 本章小结

第四章客户端防御SSLstrip攻击

4.1 SSLstrip攻击的自动检测

4.1.1 核心思想

4.1.2 检测构成

4.1.3 检测规则

4.1.4 检测流程

4.2 对JavaScript的处理

4.2.1 JavaScript预处理程序

4.2.2 JavaScript认证

4.2.3 检测客户请求和服务器回应

4.3 评估

4.3.1 安全性能评估

4.3.2 误报

4.3.3 性能

4.4 实现

4.5 本章小结

第五章总结与展望

参考文献

附录

致谢

HTTPS协议中间人攻击的实现与防御

论文摘要

论文目录

相关论文文献

猜你喜欢