¿Existen todavía algunos dominios ssl que contienen el carácter nul para realizar pruebas?

Navega tus respuestas
1

Hace algunos años, hubo un error en la comprobación del nombre del host en ssl, por lo que la conexión a www.paypal.com%00.thoughtcrime.org se vería como www.paypal.com en el nivel de certificado.

El problema parece haber terminado para los navegadores web. Pero algunas herramientas y bibliotecas populares todavía usan const char * sin un tamaño asociado internamente para representar nombres de dominio.

Como www.paypal.com%00.thoughtcrime.org parece que ya no está disponible, ¿hay todavía algún servidor public que ya haya configurado servidores para realizar pruebas?

    
pregunta user2284570 13.10.2015 - 15:22
fuente

1 respuesta

4

No existe tal cosa como un "dominio SSL".

No hay ningún error de manejo de NUL en SSL, que es una especificación. Solo errores en implementaciones. Muchos errores . En estos errores, nunca hubo un carácter NUL en el nombre de host, solo en el certificado.

Las implementaciones ampliamente utilizadas como OpenSSL ahora protegen contra esto , pero seguramente las pruebas aún valen la pena.

Sin embargo, las pruebas no requieren conectarse a un sitio web. Puede ejecutar pruebas solicitando a su implementación que valide un certificado almacenado localmente. Las instrucciones y los certificados de ejemplo están disponibles desde 2009

    
respondido por el Ben Voigt 13.10.2015 - 18:23
fuente

Lea otras preguntas en las etiquetas

mecanismo de cifrado de Android Explotaciones de Windows 7