BEAST
针对 SSL/TLS 的浏览器漏洞攻击
相关警告
“服务器易受 BEAST 攻击。”
问题
针对 SSL/TLS (BEAST) 的浏览器漏洞攻击会影响 SSL 2.0、SSL 3.0 和 TLS 1.0 协议。导致恶意人员破解 Web 浏览器和网站之间的 SSL 加密或 TLS 加密会话的内容。攻击者会利用基于块的密码套件中的漏洞。
注意
这是面向客户端的攻击,其中攻击者需控制“受攻击者”的浏览器。大部分浏览器易受 BEAST 攻击。
在 BEAST 攻击中,攻击者以中间人的身份,使用专门定制的纯文本输入,破解 Web 浏览器与网站之间的 SSL 加密或 TLS 加密会话的内容。这种攻击类型使得攻击者能够找回敏感信息(例如,HTTP 身份验证 Cookie)。
解决方案
在支持 TLS 1.2 或 TLS 1.3 协议的服务器上启用这些协议。
在支持 TLS 1.2 或 TLS 1.3 协议的 Web 浏览器上启用这些协议。
变通方案
在服务器的 SSL/TLS 配置中禁用所有基于块的密码套件。仅当您无法对服务器和浏览器启用 TLS 1.2 或 TLS 1.3 时,才使用此变通方案。