开发者社区> 玄学酱> 正文

免费SSL工具有漏洞 黑客可获取任何域名的SSL证书

简介:
+关注继续查看

0000

荷兰安全公司CompuTest的安全研究员Thijs Alkemade在以色列公司StarCom创建的发布免费SSL证书的工具StartEncrypt中发现多个设计和执行缺陷。

StarCom受到Let’s Encrypt项目的启发,在6月4日推出StarEncrypt项目。想要部署免费StartSSL证书的用户只需下载一个Linux客户端并将其上传 到服务器即可。这个客户端会执行一个域名验证流程,通知StartSSL服务,随后为运行在服务器上的域名发布并安装一个“扩展验证”SSL证书。

StartEncrypt含有设计和执行缺陷

CompuTest公司指出,这个验证进程中存在缺陷,而且服务器所有者只需通过一些小技术就能接收到其它域名的SSL证书如脸书、谷歌、Dropbox等等,随后这些证书就会出现在黑市上或者被用于中间人攻击中。

研究人员发现的第一个漏洞是设计问题,用户能够手动配置客户端从服务器下载签名的文件夹。攻击者只需将工具指向托管着另外一个域名的签名的服务器上的一个文件夹。这些域名签名能够从允许用户上传文件的站点如GitHub、Dropbox等中被提取出来。

第二个问题更加严重,因为它允许攻击者获取更多域名的SSL证书。研究人员指出,其中一个API验证调用中包含一个名为“verifyRes”的参 数,它接受URL作为输入。也就是说客户端易受开放重定向漏洞的影响,攻击者能够伪造这个请求并且将工具指向不受控制的服务器中。但是这种功能也不是那么 容易就被利用。攻击者需要将工具指向的域名URL必须(1)允许用户上传文件并以原始格式返回;或者(2)包含自身的开放重定向问题。

虽然第一个条件很少见,但是第二个并非如此。所有支持OAuth 2.0即支持社交登录功能的标准的网站必须允许能让该协议正常起作用的开放重定向。利用这个OAuth 2,0和StartEncrypt客户端的犯罪分子能够哄骗StartSSL服务以他的名义为任何支持OAuth 2.0的网站发布免费的SSL服务如脸书、推特、雅虎、微软等。

其它问题

此外,CompuTest还发现StartEncrypt并没有检查自己服务器证书连接到API时的有效性,也就是说犯罪分子能够接收到验证请求并为试图使用StartEncrypt的用户发布错误的SSL证书。

API也不会验证其为了验证而下载的内容文件,这样攻击者就能够以第三方网站的名义获取证书。用户能够上传形象化符号、证书私钥。此外,跟 Let’s Encrypt项目一样的是,StartEncrypt易受“重复签名密钥选择(Duplicate-Signature Key Selection)”攻击的影响。安全研究人员认为StartCom并未从Let’s Encrypt项目中汲取经验教训。

StartCom已经发布了StartEncrypt Linux客户端新版本,序列号仍为1.0.0.1。CompuTest指出已将其它问题报告给了该公司,该公司随后将会提供修复方案。

今年3月份,StartSSL曾面临着一个类似问题,允许犯罪分子得到他们并不拥有的域名的SSL证书。





====================================分割线================================


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
企业如何利用基于人工智能工具管理漏洞
人工智能(特别是机器学习)可以实时分析数据,根据风险级别对漏洞进行优先级排序。人工智能驱动的解决方案包括威胁和漏洞管理功能,可以扫描和预测数千种攻击媒介和威胁的风险。
28 0
格式化字符串漏洞利用 七、工具
七、工具 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 一旦利用完成,或者甚至在利用开发过程中,使用工具来获取必要的偏移更加有用。
830 0
个人网站可以申请什么样的https证书
  https证书即SSL证书,网站安装SSL证书可将http协议升级为https加密协议,可保障网站数据信息安全。随着SSL证书技术不断的发展,SSL证书的作用不仅仅在于数据加密,还有利于seo关键词优化,帮助网站进行排名,这也是个人网站选择安装SSL证书的重要原因。
3197 0
手动升级X-Scan–通过nessus nasl脚本更新X-Scan漏洞库
    http://www.netxsec.com/index.php/html/216.html 没测试过,转过来备用。
1192 0
软考高级证书可以积分50分
软考高级证书可以积分50分       来自湖北省武汉市2016年积分落户管理办法,软考的高级证书如:信息系统项目管理师、系统分析师、系统架构设计师,可以加分50分。
1273 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20709
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载