我正在寻找一些保护SSLstrip服务器的build议。 任何人有任何build议?
SSLstrip的目标不是服务器,而是用户和劫持跳跃之间的会话。 它预示着用户无法辨别真正的SSL会话和相似的会话。 那么最好的缓解措施就是确保你的用户知道你的网站有一个正确的SSL连接:https://,不要依赖favicon“挂锁”等。
不幸的是,由于麻烦主要在客户端,所以在服务器端可以做的事情不多,以修复用户的天真。 你可以在你的login/抄送页面上写上一些注意事项,指导用户检查一个正确的SSL连接,但是谁说这些不会被攻击者剥离?
一种select是使用像NoScript(或提到的HSTS)的东西。
我喜欢在Firefox中将browser.identity.ssl_domain_display设置为2,以使SSL页面的方式更加明显,并将network.IDN_show_punycode设置为true以避免同形异义(homograph)攻击。
再次,这些都是必须在客户端完成的事情,而不是保证由您的用户完成! 假设至less有一些用户不关心,并会点击任何内容。
HSTS是你想要的。 它允许您指定您的网站应该始终通过HTTPS访问,并且Chrome和Firefox 4也支持您的网站。(另外,Firefox的扩展名为Firefox 3)。
在所有关键页面强制使用SSL(最好使用EV SSL证书,最好在所有页面上 – 像PayPal一样 – 所以没有任何可以注入的http页面)
教育你的访问者,让他们知道如果他们收到SSL错误或切换到不同的域名是可疑的