Comments on: SSL窃听攻击实操

By: Anonymous

Anonymous — Mon, 26 Oct 2009 03:33:15 +0000

我还以为是你能伪造一张假证书呢？？

By: phpor

phpor — Mon, 19 Oct 2009 04:39:51 +0000

如果能修改用户的host，就差不多是给用户安装了木马了，就能做更多的事情，就没必要劫持ssl了

By: ﹎‵sκyˊ☆

﹎‵sκyˊ☆ — Sat, 03 Oct 2009 09:52:56 +0000

sohu被劫持了

By: 窃听SSL可能吗？ « 每日IT新闻，最新IT资讯，聚合多站点消息，保证你与世界同步

窃听SSL可能吗？ « 每日IT新闻，最新IT资讯，聚合多站点消息，保证你与世界同步 — Fri, 02 Oct 2009 12:29:01 +0000

[...] Hillstone山石网科公司声称开发出一种名叫SG-6000的防火墙设备，能利用SSL代理去截断所有单向验证的SSL请求，然后对解密后的内容进行控制和审查，据称能过滤Gmail等采用HTTPS登录的Webmail。窃听SSL的噩梦前景无疑令很多人不寒而栗。随后狂人山庄博客利用Sohu邮箱的漏洞（该漏洞已被修正）实际操作了一次SSL中间人攻击，有人评论认为这并非是SSL协议的漏洞，而是搜狐不应该让自己的域名（Sohu.com）开放邮件注册，如Gmail的SSL就是使用的是mail.google.com。 [...]

By: Betty

Betty — Thu, 01 Oct 2009 09:48:04 +0000

感觉主要是发证书的过程审查不够严格，应该有其他更可靠办法验证你是否持有那个域名吧

By: zuo.la/

zuo.la/ — Wed, 30 Sep 2009 11:03:45 +0000

《SSL窃听攻击实操》里关键的地方是注册了一个hostmaster@vip.sohu.com 或ssladmin@vip.sohu.com 的邮箱，这样才能在另一个CA那里注册到另一个合法的SSL证书，然后利用反向代理来做中间人劫持SSL通信内容。

By: Leave

Leave — Wed, 30 Sep 2009 09:34:35 +0000

这还不是中间人攻击吗？也不是新问题啊

By: 窃听SSL可能吗？ | 52.bingcheng

窃听SSL可能吗？ | 52.bingcheng — Wed, 30 Sep 2009 07:04:41 +0000

[...] 发表：小蚂蚁九 30th, 2009 栏目： IT 新闻. You can follow any responses to this entry through the RSS 2.0. You can leave a response or trackback to this entry Hillstone山石网科公司声称开发出一种名叫SG-6000的防火墙设备，能利用SSL代理去截断所有单向验证的SSL请求，然后对解密后的内容进行控制和审查，据称能过滤Gmail等采用HTTPS登录的Webmail。窃听SSL的噩梦前景无疑令很多人不寒而栗。随后狂人山庄博客利用Sohu邮箱的漏洞（该漏洞已被修正）实际操作了一次SSL中间人攻击，有人评论认为这并非是SSL协议的漏洞，而是搜狐不应该让自己的域名（Sohu.com）开放邮件注册，如Gmail的SSL就是使用的是mail.google.com。 Short URL for this post: http://bit.ly/Zguyk [...]

By: 吴洪声

吴洪声 — Tue, 29 Sep 2009 11:35:30 +0000

忘记说了，OCSP是选上的。本来firefox就是默认把这个选上的

By: 探客

探客 — Tue, 29 Sep 2009 10:21:00 +0000

忘记了，劫持国内的也不如现在的直接收回域名方便~
预装root CA~