基于SSL3 3的SSTP协议是否易受贵宾攻击？

Question

安全套接字隧道协议是微软开发的虚拟专用网协议。它通过SSL版本3连接发送通信量。

由于SSlv3易受贵宾犬攻击的影响，这是否意味着SSTP的可交易性很低？这个答案说：

满足攻击所需的条件的主要和唯一可行的场景是Web

但这包括在SSTP上浏览网页吗？

Answer 1

我怀疑在SSTP上使用此漏洞是不现实的。根据这个答案，攻击者需要能够做两件事才能利用这个漏洞：

• 在自己想要得到的秘密价值之前和之后注入自己的数据；
• 检查、截取和修改线路上产生的字节。

答案之所以说：

满足这些条件的主要和唯一可行的场景是Web :攻击者运行一个假的WiFi访问点，并将自己的一些Javascript作为网页的一部分注入

你需要在加密之前和之后访问这些数据。浏览器中的Javascript非常适合这一点，因为您实际上可以在自己的执行上下文中形成恶意请求并将其全部发送出去。

在SSTP上下文中执行此操作的唯一方法是对试图启动SSTP连接的windows机器进行某种受损害的访问，如果您处于这种情况下，您需要担心的问题要大得多！

TL:DR贵宾犬漏洞需要一些特定的情况来利用，而SSTP的标准用例没有提供这些情况。

Answer 2

答案是肯定的，因为SSTP也依赖SSL3.0，因此除了从客户端和服务器端禁用SSL3.0之外，没有任何东西可以防止此会话被攻击者劫持，因此敏感信息可能会被泄露。而且，据我所知，SSTP还没有标准化，因此在互操作性方面可能会出现问题。微软在创建时表示，SSTP只是一种隧道协议(不是SSL )。