sslstrip funziona solo su siti Web che utilizzano sia HTTP che HTTPS?

La risposta:

Facciamo uno scenario in cui c'è una macchina vittima (A), una macchina attaccante (B) e un server (C). La striscia SSL è in esecuzione sulla macchina attacker, che è un server proxy. Quindi, non esiste una connessione diretta tra la vittima e il server.

La vittima A vuole trasferire denaro dal suo account usando un servizio di banking online e inserisce il seguente URL nella barra degli indirizzi del browser:

www.foobank.com/online_banking

Sullo sfondo, il browser della vittima connesso alla macchina dell'attaccante attende la risposta dal server. L'attaccante B inoltra la richiesta della vittima A e attende la risposta dal server della banca. La connessione tra B e C è sicura, il che significa che tutto il traffico che viene trasferito tra loro (B & C) avviene attraverso il tunnel SSL.

Il server della banca risponde con la pagina di accesso con il seguente URL:

link

In questa fase, l'utente malintenzionato ha accesso alla pagina di accesso. Successivamente, l'attaccante (B) modifica la risposta dal server da https a http e la invia alla vittima (A), il che comporta che il browser venga ora indirizzato a link .

A questo punto, la vittima ha accesso alla pagina di accesso di internet banking con una connessione non protetta con l'aggressore. Da questo momento in poi, tutte le richieste della vittima escono in formato testo normale e l'autore dell'attacco può annusare i dati e raccogliere le credenziali.

Il server pensa di aver stabilito correttamente la connessione, che in questo scenario è tra l'attaccante e il server (cioè tra B & C), mentre la vittima (A) pensa anche che sia un server legittimo (C ).

SSLStrip doesn't depend on the server's behavior, it depends on the client. If you can get the client to make the request over HTTP, instead of HTTPS, you can perform the attack, even if the server only supports HTTPS. HSTS prevents the browser from performing the plain HTTP request in the first place (on subsequent requests).

Conclusione:

Google utilizza solo HTTPS e utilizza l'intestazione HSTS contro gli attacchi SSLStrip. Perché gli attacchi SSLStrip possono verificarsi anche se il web server utilizza solo HTTPS.

Risorsa: link

SSL Strip only works on websites which uses both HTTP & HTTPS.

Non è accurato perché implica la disattivazione del supporto HTTP contro l'attacco.

Il punto è che sslstrip interviene quando l'utente richiede prima un sito su un semplice HTTP. Riguarda il modo in cui il browser tenta di connettersi al server, non ciò che il server supporta. Sei sicuro solo se il browser non tenta affatto una semplice connessione HTTP (a causa di una direttiva HSTS che ha visto prima o perché il sito web è nel Elenco di precarico HSTS ).

I mean is SSLStrip attack still possible against a website that is only using HTTPS?

Sì. Diciamo che https://yourbank.example/ non serve nulla su HTTP semplice. Ora, ti mando comunque un link a http://yourbank.example/ . Quando il tuo browser tenta la semplice richiesta, io uso sslstrip per intercettarlo e rispondere con un sito di phishing. Come vedi, è irrilevante che il sito originale abbia pubblicato contenuti su HTTP semplice perché non inoltro la richiesta comunque.

Sslstrip richiede che la connessione tra il client e l'istanza sslstrip venga eseguita su un semplice HTTP. La connessione da sslstrip al server può essere HTTP e HTTPS.

Ciò significa che se il client richiede prima il sito con un semplice HTTP, allora funziona sslstrip. Se invece i client iniziano già con HTTPS poiché sa che il sito è accessibile solo da HTTPS o se il browser applica HTTPS a causa di una politica HSTS (precaricata o da precedenti visite), sslstrip non funzionerà.