MITM攻击是当犯罪者将自己置于用户和应用程序之间的对话中时的通用术语 - 窃听或冒充其中一方,使其看起来好像是正常的信息交换进展中。 攻击的目标是窃取个人信息,例如登录凭据、帐户详细信息和信用卡号。目标通常是金融应用程序、SaaS 业务、电子商务网站和其他需要登录的网站的用户。 在攻击期间获得的信息可用于多种目的,包括身份盗用、未经批准的资金转移或非法更改密码。 此外,它还可以用于在高级持续威胁 (APT) 攻击的渗透阶段在安全边界内获得立足点 。 从广义上讲,MITM 攻击相当于邮递员打开您的银行对帐单,写下您的帐户详细信息,然后重新密封信封并将其送到您家门口。 MITM攻击进展 成功的 MITM 执行有两个不同的阶段:拦截和解密。 拦截 第一步是在用户流量到达预定目的地之前拦截通过攻击者网络的用户流量。 最常见(也是最简单)的方法是被动攻击,攻击者向公众提供免费的恶意 WiFi 热点。通常以与其位置相对应的方式命名,它们不受密码保护。一旦受害者连接到这样的热点,攻击者就可以完全了解任何在线数据交换。 希望采取更积极的拦截方法的攻击者可能会发起以下攻击之一: IP 欺骗 涉及攻击者通过更改 IP 地址中的数据包标头将自己伪装成应用程序。结果,尝试访问连接到应用程序的 URL 的用户会被发送到攻击者的网站。 ARP 欺骗 是使用虚假 ARP 消息将攻击者的 MAC 地址与局域网上合法用户的 IP 地址链接的过程。结果,用户发送到主机 IP 地址的数据反而被传输给攻击者。 DNS 欺骗,也称为 DNS 缓存中毒,涉及渗透 DNS 服务器并更改网站的地址记录。结果,试图访问该站点的用户会被更改后的 DNS 记录发送到攻击者的站点。 解密 拦截后,任何双向 SSL 流量都需要在不警告用户或应用程序的情况下解密。有多种方法可以实现这一点: 一旦向安全站点发出初始连接请求, HTTPS 欺骗就会向受害者的浏览器发送虚假证书。它拥有与受感染应用程序相关的数字指纹,浏览器会根据现有的受信任站点列表对其进行验证。然后,攻击者可以访问受害者输入的任何数据,然后再将其传递给应用程序。 SSL BEAST (针对 SSL/TLS 的浏览器漏洞利用)针对 SSL 中的 TLS 1.0 版漏洞。在这里,受害者的计算机感染了恶意 JavaScript,该 JavaScript 拦截了 Web 应用程序发送的加密 cookie。然后应用程序的密码块链接 (CBC) 被破坏以解密其 cookie 和身份验证令牌。 当攻击者在 TCP 握手期间将伪造的身份验证密钥传递给用户和应用程序时,就会发生SSL 劫持。这建立了看似安全的连接,而实际上,中间人控制了整个会话。 SSL 剥离 通过拦截从应用程序发送给用户的 TLS 身份验证将 HTTPS 连接降级为 HTTP。攻击者向用户发送应用程序站点的未加密版本,同时保持与应用程序的安全会话。同时,攻击者可以看到用户的整个会话。 中间人攻击预防 阻止 MITM 攻击需要用户的几个实际步骤,以及应用程序的加密和验证方法的组合。 对于用户来说,这意味着: 避免没有密码保护的 WiFi 连接。 注意报告网站不安全的浏览器通知。 不使用时立即注销安全应用程序。 在进行敏感交易时不使用公共网络(例如,咖啡店、酒店)。 对于网站运营商而言,安全通信协议(包括 TLS 和 HTTPS)通过对传输数据进行稳健的加密和身份验证来帮助减轻欺骗攻击。这样做可以防止拦截站点流量并阻止敏感数据(例如身份验证令牌)的解密。 应用程序使用 SSL/TLS 来保护其站点的每个页面,而不仅仅是需要用户登录的页面被认为是最佳实践。这样做有助于减少攻击者从浏览不安全的用户那里窃取会话 cookie 的机会登录时的网站部分。 (责任编辑:HE) |