Attacco in cui l'URL del browser sembra valido

Naviga le tue risposte
4

Ricordo di aver letto su un attacco in cui la "barra di posizione" nel browser di un utente visualizza un URL valido (ad esempio https://www.paypal.com/ ), ma il traffico viene effettivamente diretto o intercettato da un utente malintenzionato. Come può essere realizzato e cosa possono fare gli utenti finali per garantire che un URL che stanno visitando sia quello che afferma di essere?

Modifica: non ricordo se l'attacco stava parlando di HTTP o HTTPS, quindi la mia domanda si applica ad entrambi.

    
posta jrdioko 10.07.2011 - 23:37
fonte

4 risposte

4

L'esecuzione di un attacco su un indirizzo https: // senza modifica dell'URL richiederebbe:

  • Rappresentazione del certificato (qualcuno ha rubato chiavi private del sito) + avvelenamento DNS
  • Penso che sarebbe possibile farlo anche manomettendo il file hosts sul sistema di qualcuno, ma richiederebbe comunque un certificato valido.

Per assicurarti di non essere dirottato in questo modo, assicurati sempre che il tuo browser sia aggiornato e assicurati che i certificati siano aggiornati. Il certificato può essere reso non valido e il CRL (Certificate Revocation List) deve essere controllato ogni volta che è necessario utilizzare un certificato (tramite OCSP -Online Certificate Status Protocol - o così). Non ricordo come i browser gestiscono questo tipo di richiesta.

    
risposta data 11.07.2011 - 00:20
fonte
4

Intendi dove l'utente malintenzionato registra un dominio simile a uno "reale", ma utilizzando caratteri non inglesi (o piuttosto non latini)?

Vedi

  1. link
  2. link
  3. link
risposta data 11.07.2011 - 01:13
fonte
1

Se l'attaccante può fare man-in-the-middle (ad esempio wireless o se è in grado di ottenere qualsiasi posizione tra te e il sito che desideri visitare), allora possono spoofare DNS, usare qualcosa come sslstrip ( link ) per ingannarti, o davvero fare qualsiasi manipolazione di contenuti che vogliono.

Per HTTPS, controlla: Può una connessione HTTPS essere compromessa a causa di un server DNS canaglia

    
risposta data 11.07.2011 - 01:20
fonte
1

Esiste anche la famiglia di attacchi in cui il browser mostra correttamente ciò che l'utente malintenzionato vuole che mostri, ma il traffico va comunque al sito Web dannoso, tramite un semplice dirottamento DNS (dove il browser ha l'URL corretto ma risolve a un indirizzo IP errato) o dirottamento a basso livello del codice del browser per separare le informazioni visualizzate da quelle nell'applicazione stessa.

    
risposta data 11.07.2011 - 01:30
fonte

Leggi altre domande sui tag

Modifica di una variabile $ _SESSION in PHP tramite XSS? La prossima patch Microsoft Tuesday include la correzione SSL BEAST