精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>谈股论金>>● 电子商务>>【电子商务安全】>>NeCSSL证书漏洞

主题:NeCSSL证书漏洞
发信人: likaiwpf()
整理人: aokven(2002-11-04 15:27:39), 站内信件
NeCSSL证书漏洞 
2000-05-31 


Netscape Communicator SSL错误检验证书漏洞 

漏洞发布时间:2000-5-31 9:59:00

漏 洞 描 述:

在一个Netscape session中,当收到一个""hostname does not match name in c
ertificate,"的消息,按了 "continue",这个证书就失效了,不管使用这个证书的
服务器是什么主机名和ip。
假如web server有一个证书,并且下面的web server都具有相同的证书和私匙。举
例如下:

服务器名: snafu.mit.edu
主机地址: 18.152.0.102

服务器名: snafu.fooworld.org
主机地址: 18.152.0.102

服务器名: www.nscl.org
主机地址: 18.152.0.131

1 通过任何版本的Netscape访问https://snafu.mit.edu/,当出现错误的对话框时
,按"continue",

2.接下来伪造DNS信息.在Unix的/etc/hosts,windows98的c:\windows\hosts.sam
 或者winnt的c:\winnt\system32\drivers\etc\hosts (Windows NT)中:

www.the-site-you-want-to-spoof.com 18.152.0.131

这样当请求www.nscl.org时,就会转到www.the-site-you-want-to-spoof.com,ww
w.nscl.org和snafu.mit.edu使用同样的证书。

3 这时进入 https://www.the-site-you-want-to-spoof.com/,如果你的浏览器允
许你访问这个页面(没有出现 出错信息),那么你已经欺骗了具有SSL认证的WEB s
erver,使其信任你。

受影响的版本:

Linux Netscape 4.73
Windows 98 Netscape 4.73
Macintosh Netscape 4.73

不受影响的版本:
Linux Netscape 4.73 + PSM
Windows 98 Netscape 4.73 + PSM
Windows 98 Microsoft Internet Explorer 5.00.2614.3500

解 决 方 法:

检查 Netscape 中的认证服务。 

--
 ^_^ 谢谢别忘了在“将本文章寄一份给原作者”处打勾^_^  
 
Welcome to my homepage to look someting that you wanted it!
http://www.likaiwpf.163.net

※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.110.182.163]

[关闭][返回]