Burpsuite 1.5 avvio della connessione TLS sul loro IP alla porta 443. Che cos'è?

Naviga le tue risposte
5

Recentemente ho iniziato a utilizzare uno strumento di sicurezza (Burpsuite 1.5) che ha una licenza libera e una professionale. Dopo aver scaricato quello gratuito dal suo sito Web del fornitore (sto usando BackTrack), ho notato all'interno del mio Wireshark che ogni volta che lancio lo strumento, viene effettuata una connessione TLS all'IP del venditore sulla loro porta 443. Questa connessione rimane aperta e scambiare informazioni finché lo strumento è tenuto aperto. Poiché non so cosa viene trasmesso, ho bloccato il traffico in uscita sul mio firewall su questo IP: questo non ha avuto alcun impatto sulla sua usabilità. Potrebbe essere paranoia, ignoranza o entrambi, ma non penso che voglio che ciò accada.

Ho dedicato un paio d'ore di ricerche per vedere se i venditori avrebbero detto qualcosa, cosa che non mi ha portato da nessuna parte: forse non ho cercato correttamente, ma sono affascinato da questo dal punto di vista dell'apprendimento (e anche dal punto di vista della sicurezza, ma in misura minore in questo caso). Non ho ancora contattato direttamente il fornitore, principalmente perché voglio prima di tutto imparare, quindi mi scuso se questo è fuori ambito qui. Tuttavia, una domanda se posso:

C'è un modo per scoprire che cosa viene inviato?

C'è un modo più elegante per impedire che ciò accada se non bloccare la connessione sul mio firewall?

    
posta Lex 28.01.2013 - 12:30
fonte

3 risposte

3

Una cosa che puoi guardare è impostare un proxy upstream in Burp (un'altra istanza di burp o uno strumento simile) e vedere se il traffico viene quindi inviato tramite quel proxy. Potrebbe verificarsi un problema con la validità del certificato SSL d'altra parte potrebbe funzionare. Supponendo che funzioni, ti permetterebbe di vedere all'interno del flusso SSL (anche se potrebbe esserci ulteriore crittografia ovviamente).

Per bloccare la comunicazione è possibile aggiungere una voce al file hosts per il nome DNS che sta contattando e reindirizzarla a 127.0.0.1 come opzione. Potresti anche bloccarlo sul firewall del tuo host o se lo stai eseguendo tramite un proxy concatenato come ho detto sopra, potresti probabilmente bloccare anche il traffico (a seconda dello strumento che usi).

Un'altra cosa che consiglierei è di chiedere nei PortSwigger Forum , di solito sono ragionevolmente reattivi, quindi potresti benissimo una risposta lì.

    
risposta data 28.01.2013 - 13:28
fonte
3

Burp Suite è scritto in Java; Il bytecode Java è facile da decodificare, al punto che è possibile scrivere decompilatori . Guardare le interiora di Burp Suite sarebbe il modo più diretto per determinare cosa sta succedendo.

Il quadro giuridico sul reverse engineering varia a seconda del paese. In Europa, tende ad essere consentito fino a quando è a scopo di interoperabilità - che non si applica realmente alla vostra situazione. Pertanto, il modo più sicuro per determinare cosa sta succedendo è chiedere al fornitore.

Un altro metodo, che potrebbe essere considerato come non relativo alla reverse engineering, sarebbe quello di intercettare il livello SSL / TLS. Ciò presuppone che Burp Suite non includa il proprio codice SSL / TLS, ma invece utilizza il supporto fornito da Java. Nell'architettura Java, questo utilizza provider ; il provider SSL / TLS predefinito è SunJSSE . Forse aggiungere il proprio provider e registrarsi come predefinito sarebbe sufficiente; o forse modificare SunJSSE nella tua VM farebbe il trucco. In ogni caso, un fornitore che controlli può registrare i dati scambiati nei file. Forse Burp Suite non solo utilizza SunJSSE , ma anche l'archivio predefinito di "root CA" incluso in JVM per convalidare il certificato del server; in tal caso, dovresti solo creare una CA, installalo , crea un certificato falso per il server di destinazione, quindi usa Fiddler per ottenere i dati. Questo sarebbe il modo più veloce per determinare cosa sta succedendo.

    
risposta data 28.01.2013 - 13:34
fonte
1

il primo posto dove vado sempre quando succede questo tipo di cose è la licenza . Sembra che il 2.2.6 ci impedisca di eseguire il reverse engineering e di esplorare il javacode per vedere cosa fa questo codice ...

Non c'è nient'altro che possa vedere in questa licenza che consente la funzionalità call-home ed è una licenza di scarsa qualità per non menzionarla.

    
risposta data 28.01.2013 - 12:46
fonte

Leggi altre domande sui tag

è più semplice ottenere la password originale se ne hai più di hash? Elenco delle vulnerabilità DNS