TLS“ROBOT”漏洞复现——MySSL.com来检测

在网络安全事件频发的时代，部署HTTPS已经是大势所趋。信息社会，咱们离不开网络，若是有一天你打开网页，你会发现地址栏出现一把“绿色小锁”，网址连接中的“HTTP”也被绿色的“HTTPS”所取代。那么，由HTTP变成HTTPS就安全了？加个“S”就是“Superman”了吗？

答案显然是否认的，首当其冲的就是漏洞问题。好比近期忽然再度爆发1998年时发现的TLS“ROBOT”漏洞，“ROBOT”存在于传输层安全(TLS)协议，波及主流网站：Facebook、PayPal、F五、Ctrix及思科等都确认受到影响。由于攻击者可解密数据，并用网站的私钥来签名通讯。TLS协议用于执行Web加密，而该漏洞就存在于处理RSA加密密钥的算法中。

攻击使用专门构造的查询指令，以非“是”即“否”的应答的形式，在TLS服务器上产生错误。该技术被称为自适应选择密文攻击。这些服务器经过解密HTTPS流量，负责保护用户浏览器与网站之间的通讯。若是攻击成功，攻击者可被动监视并记录流量，利用该漏洞，中间人攻击也是能够执行的。

这也就意味着，攻击者能够经过简单的暴力攻击来猜想会话密钥，并解密TLS （HTTPS）服务器和客户端（浏览器）之间交换的全部HTTPS流量信息。

针对这次再度死灰复燃TLS“ROBOT”漏洞，亚洲诚信自主研发的HTTPS最佳安全实践检测系统MySSL.com在第一时间发布了对应的检测工具，以便用户能够随时检测到其网站是否受到攻击。

检测网站：https://myssl.com/robot_detect.html

更多详细内容请查看MySSL.com相关博客：https://blog.myssl.com/robot-attack-detect