Man in the middle attack a un sito Web che utilizza la chiave pubblica pinning

7

Per quanto ne so, un utente malintenzionato può intercettare un traffico crittografato aggiungendo certificati personalizzati e autorità CA nel browser di una vittima. Mi chiedo se funzioni se un sito web utilizza la chiave pubblica pinning?

Ho aggiunto il certificato di Burp a Firefox e posso accedere a Facebook senza alcun errore di certificato. Com'è possibile?

    
posta zamardo 03.06.2016 - 10:06
fonte

2 risposte

8

I wonder if it works if a website uses public key pinning?

Sì, lo fa. Un certificato firmato da una CA che è stato esplicitamente aggiunto all'archivio fidato non sarà interessato dai controlli di blocco. Questo viene fatto deliberatamente per consentire l'intercettazione SSL utile e legale. Tale intercettazione può essere trovata nella maggior parte dei firewall aziendali, ma anche molti AV desktop ed è necessaria per scansionare il traffico HTTPS per malware, ecc. Se ciò non fosse fatto, il delivery del malware si sposterebbe semplicemente su HTTPS (che è abbastanza economico).

    
risposta data 03.06.2016 - 12:00
fonte
2

Da Mozilla :

Firefox and Chrome disable pin validation for pinned hosts whose validated certificate chain terminates at a user-defined trust anchor (rather than a built-in trust anchor). This means that for users who imported custom root certificates all pinning violations are ignored.

    
risposta data 20.12.2016 - 20:36
fonte

Leggi altre domande sui tag