BEAST

Браузерная атака в отношении SSL/TLS

Связанное предупреждение

"Сервер уязвим для атаки BEAST."

Проблема

Браузерная атака с использованием вредоносного кода, эксплуатирующего уязвимости, в отношении SSL/TLS (BEAST) затрагивает протоколы SSL 2.0, SSL 3.0 и TLS 1.0, позволяя вредному фактору дешифровать содержимое сеанса, зашифрованного с помощью SSL или TLS, между веб-браузером и веб-сайтом. Атакующий использует слабость в блочно-ориентированных наборах шифров.

Это атака является атакой на стороне клиента, когда злоумышленнику необходимо контролировать браузер "жертвы". Большинство браузеров уязвимы для атаки BEAST.

Во время атаке BEAST злоумышленник действует как взломщик, подключившийся к каналу связи между контрагентами, и использует специально созданный ввод незашифрованного текста для дешифрования содержания сеанса, зашифрованного с помощью SSL или TLS, между веб-браузером и веб-сайтом. Этот тип атаки позволяет злоумышленнику извлечь конфиденциальную информацию (например, файлы cookie HTTP-аутентификации).

Способ устранения

  • Включите TLS 1.2 или TLS 1.3 на серверах, которые поддерживают эти протоколы.
  • Включите TLS 1.2 или TLS 1.3 в веб-браузерах, которые поддерживают эти протоколы.

Частичное решение

Отключите все блочно-ориентированные наборы шифров в конфигурации SSL/TLS вашего сервера. Используйте данное частичное решение, только если вы не можете включить TLS 1.2 или TLS 1.3 на серверах и в браузерах.

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.