Ho fatto SSLStrip sulla mia rete (solo per scopi didattici!) E ho il nome utente e tutto.
system=Test&uid=dixon01&__password=hkulqlyhza&command=login&password=320dd485b1834cf8%7C%40%7C0bf892a5b7dbf901%7C%40%7C5e5f2722f2ed1cc0%7C%28%23%29%7C
Lo ssl funziona, la connessione con il sito web è http, ma la password è ancora crittografata? La password è conteggiata come crittografia? O è solo sotto qualche codifica?
SSLStrip è un proxy trasparente che viene utilizzato per impedire che la vittima di un attacco MITM attinga a SSL facendo clic su un collegamento SSL. Per ottenere questo SSLStrip sostituisce tutti i collegamenti che iniziano con https:// con http:// . L'idea alla base di questo è che la maggior parte degli utenti non è a conoscenza della crittografia e usa solo la crittografia perché è proprietaria dei link delle pagine Web o addirittura li reindirizza alla versione sicura della pagina web.
La richiesta che vedi è chiaramente non crittografata perché puoi leggerla. Quindi questo non è un problema di SSLStrip. È specifico dell'applicazione. Puoi preprocessare una password usando javascript. Questo processo può essere attivato facendo clic sul pulsante di invio, ad esempio. Questo è fatto per prevenire una sutura in cui la pasword viaggia sul filo. Sembra che tu sia in una situazione del genere. Dai un'occhiata alla pagina web con firebug. Puoi controllare il pulsante per le funzioni di costo attivate quando viene attivato l'evento click o il campo di testo di input per gli eventi costum quando viene attivato, ad esempio, keyup .