天威诚信
中国唯一一家由DigiCert直接授权且由中国工信部批准的CA认证机构
服务于全行业超过 95% 大客户,近 2亿 客户共同的选择, 21年 专业服务经验
知识中心
SSL证书助力构建数字化时代网络安全防线
《中华人民共和国网络安全法》(以下简称“《网络安全法》”)于2017年6月1日施行,至2023年6月1日已正式实施六周年。 过去的六年间,国家相继颁布了《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等网络安全领域的法律法规,对于网络安全建设和发展起到了重要的引领作用,让“没有网络安全就没有国家安…
SSL证书,网站信息安全基础保障措施
在数字化、全球化的时代,网络攻击可能来自世界任何地方,可能导致企业机密信息和个人敏感信息被盗、经济和声誉受损,尤其对以线上交易为主的企业而言,网络攻击往往是致命的。 事实上,不仅仅是跨国大公司,中小企业和个人用户同样面临着网络攻击的风险,而且由于中小企业对网络安全建设投入较少,往往容易成为网络攻击者…
网络钓鱼攻击常见类型与应对方法
进入2023年,网络钓鱼仍然像往年一样活跃在互联网的各个角落,而且变得越发诡计多端。虽然有包括安装SSL证书、电子邮件证书等方法可以保护我们免受网络钓鱼攻击,但更有效的方法是能够及时识破它们。有鉴于此,本文整理了几种常见的网络钓鱼类型及其应对方法,帮助你识别钓鱼攻击,保护个人信息和财产安全。 域名欺骗 域名…
企业如何避免SSL攻击
以下是企业网络中应避免的SSL攻击的常见方法: 避免使用自签名证书 很多时候,系统配置为使用未由授权和受信任的证书颁发机构签名或颁发的自签名证书。此类自签名证书没有证书颁发者的有效凭据或信息。他们也可能使用弱算法和弃用算法,如SHA1或RSA算法,具有弱密钥强度。此类服务器很容易被利用进行攻击,恶意用户可能能…
SSL/TLS漏洞攻击
就像我们对其他协议一样,SSL的攻击。 BEAST攻击: BEAST(针对SSL链)实现中的漏洞。这使攻击者能够通过使用MITM技术将构建的数据包注…
SSL劫持攻击
会话劫持(也称为cookie劫持)是通过未经授权访问会话密钥/ID信息来利用有效会话。在此过程中,当用户尝试登录到Web应用程序时,服务器会在客户端的浏览器中设置一个临时远程cookie来验证会话。这使远程服务器能够记住客户端的登录状态。为了执行会话劫持,黑客需要知道客户端的会话ID信息。这可以通过不同的方式获得,例…
SSL剥离攻击
在SSL剥离中,攻击者将自己建立为路由器,并与互联网服务器建立HTTPS连接。通常,最终用户通过不安全的HTTPS连接与攻击者连接,认为它是经过身份验证的路由器。然后,攻击者能够读取通信,将请求转发到服务器,并将响应传递回用户。此类攻击的目的是读取用户名、密码等数据以及攻击者以后可以利用的任何支付相关数据。
中间人攻击MITM
当黑客能够获得未经授权的访问并拦截发送方和接收方之间的安全通信时,就会发生中间人攻击MITM (Man in The Middle Attack)。黑客可以通过多种方式执行MITM攻击,其中包括访问绑定证书真实性和不安全端点的SSL/TLS私钥。在某些情况下,安全性差的中间证书颁发机构的私钥可能会受到损害,从而对它们颁发的所有证书产生更大…
甜蜜32攻击
甜蜜32攻击(Sweet32 Attack)通过利用“生日攻击”来破坏 CBC 模式下使用的 64 位分组密码。为了执行生日攻击,攻击者使用“中间人”攻击或将恶意JavaScript注入网页以捕获足够的流量来发起生日攻击。为了防止 Sweet32 攻击,请避免使用传统的 64 位块密码,并使用 DES/3DES 禁用密码套件。
TLS截断攻击
TLS截断攻击(Truncation attack)会阻止受害者的帐户注销请求,以便用户在不知不觉中保持登录到Web服务。发送注销请求时,攻击者会注入未加密的TCPFIN消息以关闭连接。服务器未收到注销请求,并且不知道异常终止。为了防止这种情况,SSLv3开始有一个结束握手,因此收件人知道消息尚未结束,直到执行此操作