1、如果Web服務(wù)中的SSL和TLS協(xié)議出現(xiàn)安全問題，后果會如何?很明顯，這樣的話攻擊者就可以擁有你所有的安全信息，包括我們的用戶名、密碼、信用卡、銀行信息所有的一切。本文將向讀者詳細(xì)介紹如何針對Web服務(wù)中的SSL和TLS協(xié)議進(jìn)行安全滲透測試。我們首先對這兩種協(xié)議進(jìn)行了概述，然后詳細(xì)介紹了針對加密信道安全性的黑盒測試和白盒測試。最后列出了一些常用的安全測試工具。一、簡介目前，許多重要的Web服務(wù)都使用了SSL和TLS協(xié)議對通信進(jìn)行保護(hù)。我們知道，http協(xié)議是使用明文進(jìn)行傳輸?shù)?，但是像網(wǎng)絡(luò)銀行之類的web應(yīng)用如果使用http協(xié)議的話，那么所有的機(jī)密信息都會暴露在網(wǎng)絡(luò)連接中，這就像銀行用一個透明的

2、信封給我們郵寄信用卡帳號和密碼一樣，在從銀行到達(dá)用戶之間任何接觸過這封信的人，都能看到我們的帳號和密碼。為了提高其安全性，經(jīng)常需要通過SSL或者TLS隧道傳輸這些明文，這樣就產(chǎn)生了https通信流量。例如網(wǎng)絡(luò)銀行之類的應(yīng)用，在服務(wù)器和客戶端之間傳輸密碼，信用卡號碼等重要信息時，都是通過https協(xié)議進(jìn)行加密傳送的。SSL和TLS是兩種安全協(xié)議，它們通過加密技術(shù)為傳輸?shù)男畔⑻峁┌踩诺?、機(jī)密性和身份驗證等安全功能。我們知道由于對高級密碼技術(shù)的出口限制，會造成遺留系統(tǒng)使用的是弱加密技術(shù)。如果系統(tǒng)采用了弱密碼，或者說密碼強(qiáng)度過低的話，攻擊者可以在有效的時間內(nèi)破解密鑰，而攻擊者一旦得到了密鑰，就像小偷

3、得到了我們家的鑰匙一樣，所有的鎖都會形同虛設(shè)。但是，新Web服務(wù)器就不會使用弱加密系統(tǒng)了嗎?答案是否定的，因為許多新Web服務(wù)器也經(jīng)常被配置成處理虛密碼選項。為了實現(xiàn)這些安全特性，協(xié)議必須確保使用的密碼算法有足夠的強(qiáng)度，并且密碼算法得到了正確的實現(xiàn)。即使服務(wù)器安裝使用了高級的加密模塊，但是如果配置不當(dāng)?shù)脑?，也有可能為安全特性要求較高的通信信道的設(shè)置了較弱的加密技術(shù)。下面，我們將詳細(xì)介紹如何對這兩種協(xié)議的配置進(jìn)行安全審計。二、測試SSL/TLS的密碼規(guī)范我們知道，http協(xié)議是使用明文進(jìn)行傳輸?shù)?，為了提高其安全性，?jīng)常需要通過SSL或者TLS隧道傳輸這些明文，這樣就產(chǎn)生了https通信流量。除對

4、傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理之外，https(安全超文本傳輸協(xié)議，HTTPS)還能利用數(shù)字證書為服務(wù)器或客戶端提供身份標(biāo)識。過去，美國政府對加密系統(tǒng)的出口有許多限制，如密鑰長度最大為40位，因為密鑰長度越短，它就越容易破解。后來，密碼出口條例已經(jīng)放寬了許多，但是，檢查服務(wù)器的SSL配置仍然十分重要，因為它有可能配置使用了弱加密技術(shù)?；赟SL的服務(wù)不應(yīng)該提供選擇弱密碼的機(jī)會。注意，我們這里所說的弱密碼，指的是加密強(qiáng)度不夠、容易破解的加密系統(tǒng)。不同的加密算法具有不同的密碼強(qiáng)度，但是在算法一定的情況下，密鑰的長度越長，加密強(qiáng)度越高。技術(shù)上，選擇加密技術(shù)的過程如下所示：在建立SSL連接的初期，客戶端向服務(wù)

5、器發(fā)送一個Client Hello消息，以告知服務(wù)器它支持哪些加密技術(shù)等。一般情況下，客戶端通常是一個Web瀏覽器，所以瀏覽器是目前最常見的SSL客戶端;然而，任何支持SSL的應(yīng)用程序都可以作為SSL客戶端使用。比如，有時候SSL客戶端是些SSL代理(如stunnel)，它們使得那些不支持SSL的工具也能與SSL服務(wù)通信。同理，SSL服務(wù)器端通常為Web服務(wù)器，但是其他應(yīng)用程序也可以充當(dāng)SSL服務(wù)器端。 加密套件規(guī)定了具體的密碼協(xié)議(DES、RC4、AES)、密鑰長度(諸如40、56或者128位)和用于完整性檢驗的散列算法(SHA、MD5)。收到Client Hello消息后，服務(wù)器以此確定該

6、會話所使用的加密套件。當(dāng)然，通過配置可以規(guī)定服務(wù)器能夠接受哪些密碼套件，這樣的話，我們就能夠控制是否跟僅支持40位加密的客戶端通話三、黑盒測試為了檢測可能支持的弱密碼，必須找出與SSL/TLS服務(wù)相關(guān)的端口。通常情況下，要檢查端口443，因為它是標(biāo)準(zhǔn)的https端口;不過運行在443端口上的卻未必是https服務(wù)，因為通過配置，https服務(wù)可以運行在非標(biāo)準(zhǔn)的端口上，同時，Web應(yīng)用程序也許使用了其它利用SSL/TLS封裝的服務(wù)。一般而言，為了找出這些端口，必須找出使用了哪些服務(wù)。利用掃描程序nmap時，加上掃描選項sV，就能用來識別SSL服務(wù)。實際上，安全漏洞掃描器除了可以顯示使用的服務(wù)之外

7、，還能用來檢查弱密碼，比如，Nessus就能檢查任意端口上的SSL服務(wù)，并報告弱密碼。如果攻擊者在您修復(fù)弱密碼之前發(fā)現(xiàn)了它們的話，那么您的處境可就不妙了利用當(dāng)前強(qiáng)大的桌面計算力，例如借助GPU的并行運算，他們能夠在有效的時間內(nèi)破解出密鑰，然后就能解密出https信道中加密過的機(jī)密信息，如口令，用戶名，如果您在使用網(wǎng)絡(luò)銀行，還能獲得他們的帳號和口令，等等。所以，我們一定要在攻擊者下手之前發(fā)現(xiàn)并修復(fù)存在的弱密碼配置。例1. 通過nmap識別SSL服務(wù)roottest# nmap -F -sV localhostStarting nmap 3.75 ( /

8、nmap/ ) at 2009-07-28 13:31 CESTInteresting ports on localhost.localdomain ():(The 1205 ports scanned but not shown below are in state: closed)PORT      STATE SERVICE         VERSION443/tcp   open  ssl 

9、0;           OpenSSL901/tcp   open  http            Samba SWAT administration server8080/tcp  open  http           

10、 Apache httpd 2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g PHP/4.3.11)8081/tcp  open  http            Apache Tomcat/Coyote JSP engine 1.0Nmap run completed - 1 IP address (1 host up) scanned in 27.881 secondsroottest# 例2. 利用Nessus識

11、別弱密碼。下面內(nèi)容摘自Nessus掃描程序生成的報告，它發(fā)現(xiàn)了一個允許弱密碼的服務(wù)器證書(黑體字部分)。https (443/tcp) Description Here is the SSLv2 server certificate: Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5WithRSAEncryption Issuer: C=*, ST=*, L=*, O=*, OU=*, CN=* Validity Not Before: Oct 17 07:12:16 2007

12、 GMT Not After : Oct 16 07:12:16 2008 GMT Subject: C=*, ST=*, L=*, O=*, CN=* Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:98:4f:24:16:cb:0f:74:e8:9c:55:ce:62:14:4e: 6b:84:c5:81:43:59:c1:2e:ac:ba:af:92:51:f3:0b: ad:e1:4b:22:ba:5a:9a:1e

13、:0f:0b:fb:3d:5d:e6:fc: ef:b8:8c:dc:78:28:97:8b:f0:1f:17:9f:69:3f:0e: 72:51:24:1b:9c:3d:85:52:1d:df:da:5a:b8:2e:d2: 09:00:76:24:43:bc:08:67:6b:dd:6b:e9:d2:f5:67: e1:90:2a:b4:3b:b4:3c:b3:71:4e:88:08:74:b9:a8: 2d:c4:8c:65:93:08:e6:2f:fd:e0:fa:dc:6d:d7:a2: 3d:0a:75:26:cf:dc:47:74:29 Exponent: 65537 (0x1

14、0001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate Page 10 Network Vulnerability Assessment Report 25.07.2009 X509v3 Subject Key Identifier: 10:00:38:4C:45:F0:7C:E4:C6:A7:A4:E2:C9:F0:E4:2B:A8:F9:63:A8 X509v3 Authority Key Identifier: keyid:CE:

15、E5:F9:41:7B:D9:0E:5E:5D:DF:5E:B9:F3:E6:4A:12:19:02:76:CE DirName:/C=*/ST=*/L=*/O=*/OU=*/CN=*serial:00 Signature Algorithm: md5WithRSAEncryption 7b:14:bd:c7:3c:0c:01:8d:69:91:95:46:5c:e6:1e:25:9b:aa: 8b:f5:0d:de:e3:2e:82:1e:68:be:97:3b:39:4a:83:ae:fd:15:2e:50:c8:a7:16:6e:c9:4e:76:cc:fd:69:ae:4f:12:b8

16、:e7:01: b6:58:7e:39:d1:fa:8d:49:bd:ff:6b:a8:dd:ae:83:ed:bc:b2: 40:e3:a5:e0:fd:ae:3f:57:4d:ec:f3:21:34:b1:84:97:06:6f: f4:7d:f4:1c:84:cc:bb:1c:1c:e7:7a:7d:2d:e9:49:60:93:12: 0d:9f:05:8c:8e:f9:cf:e8:9f:fc:15:c0:6e:e2:fe:e5:07:81: 82:fc Here is the list of available SSLv2 ciphers: RC4-MD5EXP-RC4-MD5RC2

17、-CBC-MD5EXP-RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5 RC4-64-MD5 The SSLv2 server offers 5 strong ciphers, but also 0 medium strength and 2 weak "export class" ciphers. The weak/medium ciphers may be chosen by an export-grade or badly configured client software. They only offer a limited protec

18、tion against a brute force attack Solution: disable those ciphers and upgrade your client software if necessary. See or /docs-2.0/mod/mod_ssl.html#sslciphersuite This SSLv2 server also accepts SSLv3 connections.This SSLv2 server also accepts TLSv1 connections. Vulnerable hosts

19、(以下從略)例3. 利用OpenSSL以手工方式審計SSL的弱密碼這里我們試圖通過SSLv2連接到G：roottest# openssl s_client -no_tls1 -no_ssl3 -connect :443CONNECTED(00000003)depth=0 /C=US/ST=California/L=Mountain View/O=Google Inc/CN=verify error:num=20:unable to get local issuer certificateverify return:1depth=0 /C=US/ST=California/L=Mountain

20、View/O=Google Inc/CN=verify error:num=27:certificate not trustedverify return:1depth=0 /C=US/ST=California/L=Mountain View/O=Google Inc/CN=verify error:num=21:unable to verify the first certificateverify return:1-Server certificate-BEGIN CERTIFICATE-MIIDYzCCAsygAwIBAgIQYFbAC3yUC8RFj9MS7lfBkzANBgkqhk

21、iG9w0BAQQFADCBzjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJQ2FwZSBUb3duMR0wGwYDVQQKExRUaGF3dGUgQ29uc3VsdGluZyBjYzEoMCYGA1UECxMfQ2VydGlmaWNhdGlvbiBTZXJ2aWNlcyBEaXZpc2lvbjEhMB8GA1UEAxMYVGhhd3RlIFByZW1pdW0gU2VydmVyIENBMSgwJgYJKoZIhvcNAQkBFhlwcmVtaXVtLXNlcnZlckB0aGF3dGUuY29tMB4XDTA2MD

22、QyMTAxMDc0NVoXDTA3MDQyMTAxMDc0NVowaDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWExFjAUBgNVBAcTDU1vdW50YWluIFZpZXcxEzARBgNVBAoTCkdvb2dsZSBJbmMxFzAVBgNVBAMTDnd3dy5nb29nbGUuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/e2Vs8U33fRDk5NNpNgkB1zKw4rqTozmfwty7eTEI8PVH1Bf6nthocQ9d9SgJAI2WOBP4grPj7MqOdXMTFWGDfi

23、Tnwes16G7NZlyh6peT68r7ifrwSsVLisJp6pUf31M5Z3D88b+Yy4PED7BJaTxq6NNmP1vYUJeXsGSGrV6FUQIDAQABo4GmMIGjMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjBABgNVHR8EOTA3MDWgM6Axhi9odHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlUHJlbWl1bVNlcnZlckNBLmNybDAyBggrBgEFBQcBAQQmMCQwIgYIKwYBBQUHMAGGFmh0dHA6Ly9vY3NwLnRoYXd0ZS5jb20wDA

24、YDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQFAAOBgQADlTbBdVY6LD1nHWkhTadmzuWq2rWE0KO3Ay+7EleYWPOo+EST315QLpU6pQgblgobGoI5x/fUg2U8WiYj1I1cbavhX2h1hda3FJWnB3SiXaiuDTsGxQ267EwCVWD5bCrSWa64ilSJTgiUmzAv0a2W8YHXdG08+nYcX/dVk5WRTw=-END CERTIFICATE-subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=issuer=/C=

25、ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server-No client certificate CA names sent-Ciphers common between both SSL endpoints:RC4-MD5         EXP-RC4-MD5 

26、0;   RC2-CBC-MD5EXP-RC2-CBC-MD5 DES-CBC-MD5     DES-CBC3-MD5RC4-64-MD5-SSL handshake has read 1023 bytes and written 333 bytes-New, SSLv2, Cipher is DES-CBC3-MD5Server public key is 1024 bitCompression: NONEExpansion: NONESSL-Session:    Protocol  :

27、SSLv2    Cipher    : DES-CBC3-MD5Session-ID: 709F48E4D567C70A2E49886E4C697CDE    Session-ID-ctx:    Master-Key: 649E68F8CF936E69642286AC40A80F433602E3C36FD288C3    Key-Arg   : E8CB6FEB9ECF3033    Star

28、t Time: 1156977226    Timeout   : 300 (sec)    Verify return code: 21 (unable to verify the first certificate)-closed 例4.中間人攻擊為了幫助讀者理解中間人攻擊，我們舉一個現(xiàn)實例子。罪犯冒充公安人員給受害者打電話，說有人利用用戶的網(wǎng)絡(luò)銀行帳號進(jìn)行洗錢活動，公安機(jī)關(guān)要求該用戶協(xié)助調(diào)查，給出其帳號的具體信息，包括密碼。如果用戶上當(dāng)，交出了密碼等信息，那么犯罪分子就可以利用這些信息洗劫賬戶內(nèi)的資金。這就是

29、一種典型的中間人攻擊。下面是一個Web環(huán)境下的中間人攻擊示意圖。         圖1 中間人攻擊示意圖首先，在IE瀏覽器的地址欄輸入登錄地址，如下圖所示：         然后，利用代理篡改返回的數(shù)據(jù)包，讓它返回502錯誤(或其他錯誤)，并插入一個iframe，讓瀏覽器請求真實地址，同時插入一段如下所示的腳本：          這樣就能讀取iframe的內(nèi)容，如下圖所示：

30、                                                   

31、;                                      圖4 讀取的iframe內(nèi)容 實際上，攻擊者不僅能夠讀取該iframe的內(nèi)容，還能夠向該域進(jìn)行提交。在真實的攻擊環(huán)境中，攻擊者可以讀取防止跨站請求偽造令

32、牌，實施跨站請求攻擊，甚至截獲用戶名和密碼。四、白盒測試對于提供https服務(wù)的web服務(wù)器，要仔細(xì)檢查其配置;如果Web應(yīng)用程序提供了其他使用SSL/TLS封裝的服務(wù)，也應(yīng)當(dāng)對其進(jìn)行仔細(xì)檢查。例如，以下Microsoft Windows 2003的注冊表路徑定義了服務(wù)器可用的加密技術(shù)：EY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphers五、測試SSL證書的有效性通過https協(xié)議訪問Web應(yīng)用程序時，就會在客戶端(通常為瀏覽器)和服務(wù)器之間建立一個安全信道。然后，通過數(shù)字證書為通信的一方(

33、服務(wù)器)或雙方(客戶和服務(wù)器)建立身份標(biāo)識。為了進(jìn)行通信，這些證書需要通過多道檢測?；赟SL和證書的身份驗證超出了本文的范圍，我們這里主要探討證書有效性的主要標(biāo)準(zhǔn)：檢查認(rèn)證中心是否是可信的機(jī)構(gòu);檢查證書當(dāng)前的有效性;站點名稱和證書中所聲稱的是否一致。要經(jīng)常升級您的瀏覽器，因為CA證書也會過期，在瀏覽器的不同版本中，CA證書會重新生成。另外，因為越來越多的網(wǎng)站要求強(qiáng)度高于40或者56位的加密，這時也需要更新瀏覽器，因為一些老版本不支持這些高強(qiáng)度加密。下面我們做進(jìn)一步的解釋。1.每個瀏覽器都帶有一個預(yù)裝的受信CA列表，當(dāng)我們收到證書時，可以到簽發(fā)該證書的認(rèn)證中心CA去驗證一下。當(dāng)然，這個列表是可

34、以隨意定制和擴(kuò)展的。 在與https服務(wù)器的初步磋商期間，如果服務(wù)器證書是瀏覽器不了解的認(rèn)證中心簽發(fā)的，那么就會拋出一個警告。出現(xiàn)這種情況，一般是因為Web應(yīng)用程序的證書是由一個自建的認(rèn)證中心所簽發(fā)的。 對于內(nèi)部網(wǎng)環(huán)境來說，自建認(rèn)證中心是比較合適的，因為企業(yè)web電子郵件是通過https傳輸?shù)?，同時，企業(yè)內(nèi)的所有用戶都會信任這個內(nèi)部認(rèn)證中心。但是，當(dāng)通過Internet向公眾提供服務(wù)時，則需要使用一個所有公共用戶都信任的認(rèn)證中心。2.證書都有一個有效期，因此，它也是會過期的。同樣，如果證書過期的話，瀏覽器也會拋出一個警告。公用服務(wù)需要一個暫時有效的證書;否則，當(dāng)我們跟一個服務(wù)器通信時，只要它的

35、證書是受信任的認(rèn)證中心頒發(fā)的，即使過期也無需重新生成。3.如果證書中的名稱跟服務(wù)器的名稱不相配怎么辦呢?如果出現(xiàn)這種情況，就說明很可疑。一個系統(tǒng)可以托管許多基于名稱的虛擬主機(jī)，這些虛擬主機(jī)共享同一個IP地址，彼此靠HTTP 1.1的Host:頭部相互區(qū)別。在這個例子中，因為在處理HTTP請求之前，SSL握手時會檢查服務(wù)器證書，所以它不可能為每個虛擬服務(wù)器分配不同的證書。因此，如果站點的名稱和證書中所指出的名稱不匹配，那么我們?yōu)g覽器就會發(fā)出通知。為了避免這種情況，必須使用基于IP的虛擬服務(wù)器。 RFC2817(/rfc/rfc2817.txt)和RFC3546

36、(/rfc/rfc3546.tx)這兩個文檔描述了處理這個問題并允許正確引用基于名稱的虛擬主機(jī)的方法。證書有效性的黑盒測試下面介紹如何檢查應(yīng)用程序使用的證書的有效性。當(dāng)瀏覽器遇到過期的證書、由不可信的認(rèn)證中心簽發(fā)的證書以及證書上的名稱跟服務(wù)器名稱不一致時，它就會發(fā)出一個警告。 訪問https站點的時候，我們只要單擊在瀏覽器窗口中的“鎖”圖標(biāo)，就能看到與證書有關(guān)的信息，如證書簽發(fā)機(jī)構(gòu)、有效期、加密特性等。如果應(yīng)用程序要求客戶端證書，那也不要緊，因為訪問該程序之前我們很可能已經(jīng)安裝過證書，所以可以通過查看瀏覽器證書列表中已安裝的的相關(guān)證書來獲得必要的證書信息。對于應(yīng)用程序所用的所有SSL通信信道，必須進(jìn)行上述檢查。