中间人攻击,也谈Firefox/Google Toolbar最新的安全漏洞
2007-12-17 10:39
393 查看
前一阵子Firefox/Google Toolbar的安全漏洞算是业界的新闻热点之一。这里我们就分析一下这个安全漏洞到底是什么。 这个安全漏洞说到底,就是一个典型的中间人攻击,也就是Man in the middle attack。现在的互联网的应用程序,有一个非常重要的功能,就是自动更新的功能。如果一旦检测到应用程序有了更新的版本发布,就会自动下载并安装。Firefox的扩展,和Google Toolbar都采用这种更新方式。 那么,如何检测是否有更新的版本,并下载到本地?应用程序会定时和一个指定的服务器连接,询问服务器上的版本信息,和本地的版本比较,已确定是否需要更细本地程序的版本。 看到这里,大家是否觉得这和Windows系统的自动更新(Auto Update)是否很像?没错,它们的工作方式是类似的。 采用这种更新方式,方便是方便,但是一定需要注意一点:一定要确保连接到真正的服务器上。 如果没有考虑到这一点的话,就会出现中间人攻击的漏洞。具体来说,会出现以下情况:
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1649842
1,应用程序试图和服务器连接2,一个恶意的攻击者,截获了这个连接请求,在网络上虚假构造了一个模拟服务器的回答。3,应用程序询问是否有更新4,恶意攻击者回答,有5,应用程序从恶意攻击方下载程序6,恶意程序被下载及运行
那么,如何确保自动更新不受中间人攻击的威胁?最常用的方式就是认证(authentication)服务器的身份,以确保不会被一个虚假构造的服务器骗到。 大家如果在自己开发的应用程序中也提供了自动更新的功能,不妨也看看是否有和Firefox/Google Toolbar类似的问题?Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1649842
相关文章推荐
- 中间人攻击,也谈Firefox/Google Toolbar最新的安全漏洞
- 中间人攻击,也谈Firefox/Google Toolbar最新的安全漏洞
- 中间人攻击,也谈Firefox/Google Toolbar最新的安全漏洞
- 中间人攻击,也谈Firefox/Google Toolbar最新的安全漏洞
- 甲骨文的最新咨询17修正安全漏洞在Java SE
- Firefox、IE谁更安全 Mozilla:漏洞越多越"安全"
- Mozilla官方:Firefox 3.5.1问题并非安全漏洞 仅是堆溢出Crash
- Apache Tomcat全系产品再次爆出严重的安全漏洞,赶紧升级最新版本。
- openssl门锁安全事件 rpm最新版本(修正漏洞)更新全攻略“弥补你的心”
- 微软系列软件中最新的安全漏洞大揭秘
- 中国黑客网站发布最新安全漏洞攻击方式
- 利用Python爬虫每天获取最新的CVE安全漏洞,存放至mysql数据库中
- 详解ASP.NET的最新安全漏洞,Padding Oracle攻击原理及其他
- 对ASP.NET的最新安全漏洞进一步跟进说明(转)
- 12岁男孩发现Firefox严重安全漏洞获奖3000美元
- 12月9日晚间消息,微软曝出最新XML安全漏洞
- 最新资讯 针对移动手机漏洞与安全支付
- Windows最新十大安全漏洞
- 对ASP.NET的最新安全漏洞进一步跟进说明
- 微软Technet安全技术中心,最新安全公告漏洞更新补丁发布。