Chiarimento dei dettagli relativi a un attacco di stripping SSL

Naviga le tue risposte
1

Sto cercando chiarimenti su alcuni dettagli di un attacco di stripping SSL.

La mia attuale comprensione è questa:

  1. L'utente malintenzionato si trova tra la vittima e un server.

  2. Quando gli utenti malintenzionati ricevono una richiesta HTTP dalla vittima, l'utente malintenzionato invia la richiesta al server utilizzando HTTPS

  3. Quando l'utente malintenzionato riceve la risposta dal server, rimuove i collegamenti HTTPS e inoltra la risposta alla vittima utilizzando HTTP

Questi sono alcuni dei dettagli che mi mancano:

  1. La risposta dal server all'autore dell'attacco è in HTTPS ed è crittografata. In che modo l'autore dell'attacco è in grado di leggere il contenuto per rimuovere i collegamenti HTTPS?

  2. I collegamenti HTTPS vengono eliminati nel corpo della risposta dal server?

  3. Qualcosa nell'intestazione della risposta deve essere cambiato prima di inoltrare la risposta alla vittima?

posta user137481 01.11.2018 - 19:15
fonte

2 risposte

3

La tua comprensione è corretta.

  1. Questo perché l'attaccante ha stabilito la comunicazione HTTPS, quindi quando la risposta dal server Web viene a loro viene decrittografata e quindi inoltrata alla vittima.

  2. Sì, tutti i link HTTPS nel corpo vengono sostituiti con collegamenti HTTP, come l'intestazione Location .

  3. sslstrip analizza le intestazioni di risposta e

    • rimuove accept-encoding

      Penso che sia così che l'utente malintenzionato non deve decomprimere e ricomprimere ogni richiesta dal client durante l'analisi delle richieste.

    • rimuove if-modified-since

      Questo è così il client deve fare una richiesta completa al server, anche se la pagina non è stata modificata. Questa intestazione deve essere rimossa perché altrimenti non c'è nessuna richiesta completa al server e nulla da intercettare.

    • rimuove cache-control

      Questo è per lo stesso motivo di if-modified-since , quindi il client non tenta di caricare la pagina da una cache ed evita di fare una richiesta completa alla richiesta al server.

    • cambia il link in Location header in HTTP
risposta data 01.11.2018 - 19:55
fonte
1

1: In che modo l'autore dell'attacco è in grado di leggere il messaggio crittografato?

L'attaccante è quello che si collega direttamente al server, non alla vittima, quindi il server configura la crittografia con l'attaccante.

2: I collegamenti sono rimossi dal corpo del messaggio?

Sì. E poiché l'autore dell'attacco può già leggere la versione in chiaro, questo è banale.

3: L'intestazione della risposta deve essere cambiata?

Probabilmente no. Tuttavia, è improbabile che l'attaccante inoltrerà le intestazioni del server direttamente alla vittima, in quanto si tratta di un lavoro extra che va oltre la semplice configurazione di un semplice server proxy.

    
risposta data 01.11.2018 - 19:39
fonte

Leggi altre domande sui tag

Snort falso positivo? L'eliminazione delle chiavi AES è consentita legalmente?