POODLE是否容易受到Java客户端的攻击?

信息安全 tls 爪哇
2021-09-01 08:01:10

我有一个基于 Java 的应用程序(在 java 5 或更高版本上运行),它与 java 7 上的 Apache tomcat 7.0.47 建立 SSL 连接。

据我了解,要利用 POODLE,您需要一个明确执行协议外降级的客户端。Web 浏览器一直在做的事情,但其他客户端很少做。所以我想知道,如果我的应用程序由于 POODLE 漏洞而面临风险,那么双方(服务器和客户端)都是基于 Java 的而不是 Web 浏览器?

1个回答

POODLE 是 SSLv3 协议中的一个漏洞,特别是它如何处理分组密码的填充(RC4,作为一种流密码,不易受到攻击,但它有自己的弱点)。

  1. 客户端和服务器是否使用 SSLv3 相互通信?
  2. 中间人攻击者能否强迫他们使用 SSLv3 进行交谈?

如果上述任一问题的答案是“是”,则客户端/服务器对可能存在漏洞。实际执行攻击取决于客户端和服务器如何工作的细节。

其它你可能感兴趣的问题
上一篇无需预启动身份验证的基于硬件的全盘加密 下一篇在 GPG 信任网络之上,像 Tor 这样的匿名网络是否可行?