Accesso HTTP all'attacco iframe HTTPS / MiTM

Naviga le tue risposte
1

Vorrei sapere se le credenziali possono essere intercettate / MitM attack se il sito utilizza iframe di accesso da HTTP a HTTPS.

Ecco alcuni dettagli di accesso dai miei strumenti di sviluppo di Chrome (Dati modulo)

Quindi posso vedere le credenziali sul mio Chrome ma non riesco a vedere su Wireshark e posso catturarlo su Burp? 

Cache-Control:private
Content-Length:141
Content-Type:text/html; charset=utf-8
Location:/mobile/account.aspx
p3p:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Server:Microsoft-IIS/7.0

FbAccessToken:
ctl00$initfvk1$AccessTokenHiddenField:
ctl00$cph1$LoginForm$UserName:[email protected]
ctl00$cph1$LoginForm$Password:password123
    
posta Michal Koczwara 04.01.2016 - 13:31
fonte

2 risposte

3

... if the site is using HTTP to HTTPS login iframe.

Se ti capisco bene allora intendi che il frame di accesso viene caricato via HTTP, ma i risultati vengono inviati tramite HTTPS. In questo caso non è possibile utilizzare un attacco MITM passivo (ad esempio, sniffing) per annusare le credenziali perché vengono inviate con HTTPS. Ma un attacco attivo come sslstrip può ancora essere usato perché può cambiare la destinazione del modulo di login e quindi renderlo inviato in chiaro.

    
risposta data 04.01.2016 - 14:07
fonte
2

Finché l'iframe di accesso utilizza SSL / TLS, i dati inviati utilizzando tale modulo sono sicuri. Il motivo per cui è possibile visualizzare i dati negli strumenti di sviluppo del browser è che, poiché il browser è l'endpoint nella comunicazione, il browser è in grado di visualizzare i dati inviati nelle richieste HTTP sottostanti.

Si noti che, nello scenario, l'utente è ancora vulnerabile a un attacco Man-in-the-Middle attivo nel senso che la pagina principale non è protetta su SSL / TLS e quindi l'URL dell'iframe potrebbe essere modificato. Come spiegato sopra, un attacco Man-in-the-Middle passivo non è possibile nel tuo scenario.

    
risposta data 04.01.2016 - 15:16
fonte

Leggi altre domande sui tag

Phishing account Gmail [duplicato] E 'possibile provare che un'e-mail inoltrata è stata manomessa prima di essere inoltrata?