科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全MD5哈希漏洞成为高危Web的安全漏洞

MD5哈希漏洞成为高危Web的安全漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

信息安全行业的一位首席Web安全专家称,一年多前发现的哈希算法漏洞可能成为Web上最危险的安全漏洞。

来源:eNet 2010年3月16日

关键字: Web安全 安全漏洞

  • 评论
  • 分享微博
  • 分享邮件

  信息安全行业的一位首席Web安全专家称,一年多前发现的哈希算法漏洞可能成为Web上最危险的安全漏洞。

  在2010 RSA大会上,WhiteHat首席安全技术官Jeremiah Grossman正式提出去年中排名前十位的网络黑客攻击技术。一月份,Grossman首次在其博客上列出这一第四年度列表,他试图阐明那些往往不会引起人注意但有重大意义的攻击研究。

  排在这一列表首位的是创建流氓认证职权的实现,这有效地击败了因特网的信任基础设施,并使用户难以获知哪个站点和证书是可信的。

  这一漏洞最初是由一个安全研究小组(其中包括独立研究员Alex Sotirov)在2008年年底发现的。该攻击针对的是MD5哈希算法中的漏洞,在特殊情况下它能够以复制假冒数字指纹的形式来发动攻击。

  Grossman称,如今一些CA(证书的签发机构)仍然在使用MD5,但已逐渐被一种更安全且没有这一漏洞的SHA-1哈希函数所淘汰。

  列表中排名第二的是一种HTTP参数污染的技术。通过向网站发送多重请求使得绕过输入验证检查和Web应用防火墙,进而修改web页面内容和客户端应用的行为成为可能。

  “你可以通过利用同一名称的多重URL参数来改变后端行为,这也很可能使得用户毁掉他们自己的Yahoo邮箱账户。”

  Grossman不可能详细阐述每一种黑客技术的细节,但他还是强调了给私有内网带来特别重大风险的一些黑客技术。包括DNS重绑定。在这种攻击渠道上有几种技术,基本上攻击的是DNS服务器以及通过浏览器获取IP地址使得攻击者能够访问到安全内网区域。

  Grossman称,即使DNS重绑定已存在好几年了,它或多或少仍未得到完全修复……它实际上可以将浏览器转变为网络代理来执行攻击者的指令。这是种非常猖狂的攻击方式。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章