TLS「ROBOT」漏洞復現——MySSL.com來檢測

在網絡安全事件頻發的時代，部署HTTPS已經是大勢所趨。信息社會，咱們離不開網絡，若是有一天你打開網頁，你會發現地址欄出現一把「綠色小鎖」，網址連接中的「HTTP」也被綠色的「HTTPS」所取代。那麼，由HTTP變成HTTPS就安全了？加個「S」就是「Superman」了嗎？

答案顯然是否認的，首當其衝的就是漏洞問題。好比近期忽然再度爆發1998年時發現的TLS「ROBOT」漏洞，「ROBOT」存在於傳輸層安全(TLS)協議，波及主流網站：Facebook、PayPal、F五、Ctrix及思科等都確認受到影響。由於攻擊者可解密數據，並用網站的私鑰來簽名通訊。TLS協議用於執行Web加密，而該漏洞就存在於處理RSA加密密鑰的算法中。

攻擊使用專門構造的查詢指令，以非「是」即「否」的應答的形式，在TLS服務器上產生錯誤。該技術被稱爲自適應選擇密文攻擊。這些服務器經過解密HTTPS流量，負責保護用戶瀏覽器與網站之間的通訊。若是攻擊成功，攻擊者可被動監視並記錄流量，利用該漏洞，中間人攻擊也是能夠執行的。

這也就意味着，攻擊者能夠經過簡單的暴力攻擊來猜想會話密鑰，並解密TLS （HTTPS）服務器和客戶端（瀏覽器）之間交換的全部HTTPS流量信息。

針對這次再度死灰復燃TLS「ROBOT」漏洞，亞洲誠信自主研發的HTTPS最佳安全實踐檢測系統MySSL.com在第一時間發佈了對應的檢測工具，以便用戶能夠隨時檢測到其網站是否受到攻擊。

檢測網站：https://myssl.com/robot_detect.html

更多詳細內容請查看MySSL.com相關博客：https://blog.myssl.com/robot-attack-detect