Come posso testare un dominio che non possiedo per vulnerabilità di comunicazione non criptate?

4

Sospetto che sia un sito Web che trasmette informazioni di accesso di testo in chiaro e per quanto posso dire che la connessione non è criptata. Esistono strumenti basati sul Web per convalidare / testare un sito Web per funzionalità di sicurezza di base come questa?

    
posta Enigma 14.03.2016 - 16:21
fonte

1 risposta

4

Un browser dovrebbe farlo. Se la pagina di accesso è HTTP anziché HTTPS, si ha già un problema, anche se si suppone che le credenziali vengano passate su HTTPS, un utente malintenzionato attivo potrebbe modificare la pagina di accesso per modificare l'azione o eseguire altre azioni dannose aggiuntive.

Per determinare se anche le credenziali di stato progettate vengono passate in chiaro, è sufficiente visualizzare l'origine della pagina di accesso nel browser. Se l'azione del modulo di accesso è HTTP: //, o se la pagina di accesso è HTTP e l'azione è relativa o senza schema, (l'aspetto relativo è action="/process-login" e lo schema appare come action="//insecuresite.com/process-login" ), le credenziali vengono effettivamente passate in chiaro .

Puoi anche utilizzare la scheda "Rete" (o equivalente) negli strumenti di sviluppo del browser prescelto, spesso accessibile tramite F12 per esaminare la richiesta effettiva di determinare se si tratta di HTTP o HTTPS.

    
risposta data 14.03.2016 - 16:29
fonte