باحثان أمنيان يكتشفان ثغرة في بروتوكول SSL المسؤول عن حماية

يهتم هذا المنتدى بالمواضيع المتعلقة بالاختراق و طرق الحماية .....

المشرف: BlzOfHK

باحثان أمنيان يكتشفان ثغرة في بروتوكول SSL المسؤول عن حماية

مشاركة غير مقروءةبواسطة wazzz » الجمعة سبتمبر 30, 2011 2:13 pm

كتشف باحثان أمنيان طريقة لاستغلال مشكلة قديمة في طبقة TLS، والتي تسمح بسرقة بيانات حساسة يفترض ببروتوكول SSL أن يحميها عبر تشفيرها، الأمر الذي يضع ملايين المواقع في خطر.

تستهدف هذه الطريقة الإصدارات TLS 1.0 و SSL 3.0 والتي يوجد ملايين البرمجيات التي تستخدمها لحماية بعض أنواع البيانات المنقولة عبر الشبكات.

وقد قام الباحثان Rizzo و Duong بكتابة أداة تسمى BEAST (اختصارا لـ Browser Exploit Against SSL/TLS) تقوم بمهاجمة خوارزمية التشفير AES المستخدمة في TLS و SSL.

تستطيع BEAST أن تحصل على نسخة من البيانات المشفرة في المتصفح (كالـ cookies المستخدمة مع بروتوكول HTTPS) بمجرد أن يتم تشغيلها في المتصفح الهدف، وبالطبع يمكن لهذا الأمر أن يتم من خلال حقن iframe أو من خلال تنفيذ شفرات JavaScript في الصفحة التي يتم استعراضها، وذلك وفقاً لما تداوله موقع Kaspersky.

يقول Duong:

في حين أن باقي طرائق الهجوم تركز على خاصية المصداقية في SSL، فإن BEAST يقوم بمهاجمة خاصية الوثوقية في البروتوكول.” ويضيف “إن إصلاح مشكلة المصداقية قد يتطلب وضع نموذج ثقة جديد، بينما يتطلب إصلاح المشكلة التي يستغلها BEAST تغييرات جذرية في البروتوكول نفسه. لقد عملنا مع الشركات المصنعة لمتصفحات الانترنت والشركات التي تسوق شهادات رقمية تستخدم SSL منذ أيار الماضي، وقد باءت جميع الحلول المقدمة منهم بالفشل نظراً لعدم التوافق مع بعض البرمجيات التي تستخدم SSL.

لقراءة المزيد


صورة
صورة العضو الشخصية
wazzz
عضو نشيط جدا
عضو نشيط جدا
 
مشاركات: 2019
اشترك في: الثلاثاء يناير 29, 2008 9:21 pm
مكان: root/badusers/wazz
الجتس: ذكر
الشهادة الثانوية: بحاجة لإعادة تجديد
الجامعة: بحاجة لالغاء تجزئة
الكلية: بحاجة لفرمتة
المرحلة الدراسية: السنة الخامسة
الاختصاص: ذكاء صنعي

Re: باحثان أمنيان يكتشفان ثغرة في بروتوكول SSL المسؤول عن حم

مشاركة غير مقروءةبواسطة Fuchs » الجمعة سبتمبر 30, 2011 8:25 pm

wazzz كتب:تستطيع BEAST أن تحصل على نسخة من البيانات المشفرة في المتصفح (كالـ cookies المستخدمة مع بروتوكول HTTPS) بمجرد أن يتم تشغيلها في المتصفح الهدف، وبالطبع يمكن لهذا الأمر أن يتم من خلال حقن iframe أو من خلال تنفيذ شفرات JavaScript في الصفحة التي يتم استعراضها، وذلك وفقاً لما تداوله موقع Kaspersky.


إذا ممكن سؤالين بالله :mrgreen:
1) يعني بفهم من هالشي أنو لازم يكون في شي عجهازي مو؟
2) همة بضيفو شي عالمعلومات قبل التشفير يعني وبستفادو منها لفك التشفير؟
الحمد لله الذي لا يحمد على مكروه سواه


صورة

-
صورة العضو الشخصية
Fuchs
متميز برمجة عام
متميز برمجة عام
 
مشاركات: 414
اشترك في: الاثنين أكتوبر 13, 2008 2:28 pm
الجتس: ذكر
الشهادة الثانوية: سورية
الجامعة: جامعة دمشق
الكلية: الهندسة المعلوماتية
المرحلة الدراسية: السنة الرابعة
الاختصاص: ذكاء صنعي

Re: باحثان أمنيان يكتشفان ثغرة في بروتوكول SSL المسؤول عن حم

مشاركة غير مقروءةبواسطة هويداعلي » الجمعة ديسمبر 06, 2013 12:13 am

http://www.fedv.bu.edu.eg
مشكوووووووور :ism:
هويداعلي
عضو جديد
عضو جديد
 
مشاركات: 21
اشترك في: الخميس ديسمبر 05, 2013 7:16 pm
الجتس: أنثى
الشهادة الثانوية: سورية
الجامعة: جامعة دمشق
الكلية: الهندسة المعلوماتية
المرحلة الدراسية: ماجستير
الاختصاص: غير ذلك

Re: باحثان أمنيان يكتشفان ثغرة في بروتوكول SSL المسؤول عن حم

مشاركة غير مقروءةبواسطة andaanda » الأحد ديسمبر 08, 2013 6:16 pm

نشكر لكم الجهد المبذول http://www.fedv.bu.edu.eg/
andaanda
عضو جديد
عضو جديد
 
مشاركات: 56
اشترك في: الأحد ديسمبر 08, 2013 2:20 pm
الجتس: ذكر
الشهادة الثانوية: سورية
الجامعة: جامعة دمشق
الكلية: الهندسة المعلوماتية
المرحلة الدراسية: ماجستير
الاختصاص: شبكات و نظم

Re: باحثان أمنيان يكتشفان ثغرة في بروتوكول SSL المسؤول عن حم

مشاركة غير مقروءةبواسطة andaanda » الأحد ديسمبر 08, 2013 6:17 pm

نشكر لكم الجهد المبذول http://www.fedv.bu.edu.eg/
andaanda
عضو جديد
عضو جديد
 
مشاركات: 56
اشترك في: الأحد ديسمبر 08, 2013 2:20 pm
الجتس: ذكر
الشهادة الثانوية: سورية
الجامعة: جامعة دمشق
الكلية: الهندسة المعلوماتية
المرحلة الدراسية: ماجستير
الاختصاص: شبكات و نظم


العودة إلى منتدى الأمن و الإختراق

الموجودون الآن

المستخدمون المتصفحون لهذا المنتدى: لا يوجد أعضاء مسجلين متصلين و 1 زائر