重用加密随机数引发的Forbidden Attack

据外媒报道，某国际安全小组1月份的全网扫描发现，Visa旗下部分HTTPS网站存在漏洞，可以让黑客注入恶意代码，而不被浏览器发现，受影响的服务器共184台。

该漏洞是由于不正确使用TLS协议造成的，在数据被加密时，错误重用了相同的加密随机数。TLS的规范其实已经写明，加密随机数只能使用一次，但在TLS握手时，这184台服务器重复使用了客户端浏览器首次连接到HTTPS网站的那个随机数，违背了加密的基本原则。因此，黑客只要有能力监控连接传输的内容(比如处于同一个不安全的wifi环境下)，他们就可以将恶意内容注入到传输数据流里，而不被客户端浏览器检查出任何问题，利用该漏洞的攻击称之为“Forbidden Attack”。

此外，还有7万台web服务器被发现存在风险，但实际执行攻击会比较困难。理论上，这7万台HTTPS服务器可能会因为伪随机数算法生成的“随机数”而遭受这类攻击，只要有足够多的WEB请求，黑客就有可能去重用其中一个重复随机数来执行攻击。然而这样所需WEB请求的数量是比较大的，约2的30次方个请求里取得重复随机数的可能性仅3%， 只有达到2的35次方个请求量后才能100%成功。在研究人员发现的7万站点中，黑客需要往WEB连接里填充TB级别的数据，从而创建足够多的请求。因此，这种攻击的理论性可能会高于实际意义。尽管如此，自研究人员发布扫描结果后，许多漏洞网站已经被修复。

消息来源Freebuf, arstechnica

文章链接:http://www.wosign.com/News/forbidden-attack.htm

推荐关注:网站https加密 | HTTPS性能与优化 | https网站SEO |  沃通SSL精灵