Perché è possibile visualizzare le credenziali di autenticazione di base in testo semplice quando si utilizza SSL

Naviga le tue risposte
1

Ho appena letto questo sulla sicurezza dell'autenticazione di base su SSL: È BASIC-Auth sicuro se eseguito su HTTPS?

E non capisco. Ho appena installato ProxyDroid (http proxy) sul mio dispositivo Android rooted e ho avviato BlurpSuite sulla mia macchina Ubuntu.

La prima richiesta che ho visto è stata una chiamata di Exchange ActiveSync a un server aziendale via SSL.

In questa richiesta, BurpSuite, sulla mia macchina Ubuntu, mi ha presentato le intestazioni completamente leggibili e non crittografate, incluse le credenziali codificate base64.

Anche questo thread indica chiaramente che le intestazioni dovrebbero essere anche crittografate: link

Come è possibile? Trascuro qualcosa?

Ciò che mi preoccupa è che ho pensato che SSL evitasse l'inganno con attacchi man-in-the-middle, ma questo non sembra applicarsi qui.

    
posta derFunk 13.07.2013 - 22:33
fonte

1 risposta

6

Gli attacchi man-in-the-middle sono impediti sui canali protetti da SSL utilizzando certificati host firmati da terze parti attendibili ( Autorità di certificazione ). Burp Suite può generare certificati per nomi host arbitrari ma non può averli firmati. Se ti connetti a un sito HTTPS tramite un browser standard tramite Burp, verrà visualizzata una finestra di avviso che ti informa che l'identità dell'host remoto non può essere verificata. Se ignori l'avviso, Burp intercetterà e decodificherà tutto il traffico (comprese le intestazioni) per te.

Nel tuo caso sembra che una delle app sul tuo dispositivo Android accetti i certificati non attendibili generati da Burp:

  • Exchange ActiveSync può semplicemente ignorare il fatto che si connette a un host con certificato forgiato
  • ProxyDroid può fornire un'interfaccia HTTP per ActiveSync e ignorare il certificato del server
  • ProxyDroid potrebbe aver installato il proprio certificato CA sul dispositivo e fornire un'interfaccia HTTPS per ActiveSync.

Quindi in sintesi SSL può proteggerti dagli attacchi MitM solo se le tue applicazioni effettivamente verificano i certificati digitali degli host remoti a cui si connettono.

    
risposta data 15.07.2013 - 13:49
fonte

Leggi altre domande sui tag

Che tipo di dati registra Snort? Cosa succede se qualcuno legge le chiavi pubbliche e private di ssh?