Come contrastare l'attacco sslstrip?

11

Ho bisogno di aiuto per capire le dinamiche di un attacco sslstrip. Lo sto usando per testare la sicurezza di un sito che possiedo. Posso annusare con successo le credenziali della vittima (in questo caso, me stesso) su Internet, ma quando lo stesso attacco si verifica contro il traffico di Gmail o MSN non riesco a recuperare nulla. In questo caso è completamente statico. Sto usando un certificato go-daddy per proteggere il mio scambio SSL.

Significa che la loro ssl è sicura e la mia no? Come il certificato ssl canaglia generato da sslstrip viene catturato e bloccato dalla loro sicurezza cs ssl e il mio è configurato in una modalità non sicura? I dispositivi come il bilanciamento del carico KEMP fanno qualcosa per prevenire tali attacchi?

Che cosa devo fare per impedire il mio sito da tali attacchi? Grazie.

    
posta Saladin 24.01.2012 - 18:54
fonte

2 risposte

10

IIRC, SSLStrip non esegue un tradizionale attacco SSL-MITM. Quello che fa è guardare il traffico HTTP, cercare link e reindirizzare al traffico HTTPS e riscrivere quei link / reindirizzamenti su HTTP. Un rapido sguardo al loro sito web lo conferma.

Quindi, devi avere una pagina non-ssl che collega / reindirizza a una pagina ssl. SSLStrip lo vede e modifica il link / reindirizzamento a un link / reindirizzamento non protetto. Ad esempio, potresti avere index.php che collega a link . SSLstrip lo cambia in link . Puoi verificare ciò digitando nel tuo browser link e vedere se SSLStrip vede ancora il nome utente e la password (o quando fai clic sul login link, vedi se ha http o https nella barra url nel browser).

Hai contrastato questo attacco

  1. Crea il tuo sito solo SSL.
  2. Per qualsiasi server web che utilizzi (Apache, IIS, ecc.), dovrebbe esserci un modo per forzare determinate directory a essere accessibili solo tramite connessioni SSL. Crea tutti i contenuti autenticati solo per SSL. Una semplice ricerca su google dovrebbe rivelare come fare questo per un dato pezzo di software server.
risposta data 25.01.2012 - 13:33
fonte
2

IIRC dovresti ricevere un avviso quando superi HTTPS che il certificato ha una mancata corrispondenza, a meno che tu non abbia il vero certificato.

SSLstrip riscrive HTTPS per cancellare apparentemente HTTP.

Anche perché la striscia SSL usa una chiave pubblica "canaglia"? Usa la chiave pubblica del sito web.

C'è un modo per proteggere te stesso, ma il tuo browser deve supportarlo. (leggi giù)

Il motivo per cui non funziona è perché probabilmente lo stai facendo con Chrome o Firefox o con qualsiasi altro browser principale. Utilizzano Sicurezza del trasporto rigoroso HTTP .

Ha due proprietà:

  1. Trasforma automaticamente tutti i collegamenti non sicuri al sito Web in collegamenti sicuri. (Ad esempio, il link verrà modificato in link prima di accedere al server.)
  2. Se la sicurezza della connessione non può essere garantita (ad es il certificato TLS del server è autofirmato), mostra un messaggio di errore e non consentire all'utente di accedere al sito.
risposta data 24.01.2012 - 21:38
fonte

Leggi altre domande sui tag