Cerca le credenziali dell'utente all'interno dell'acquisizione di pacchetti di una sessione gmail su SPDY

1

Leggevo questo articolo su SSL / TLS dalla sala di lettura SANS su come acquisire e decrittografare il proprio traffico SSL con Wireshark. Volevo catturare le credenziali utilizzate per accedere a gmail. Quando si verifica l'handshake TLS, il browser e il server accettano di comunicare su SPDY.

SPDY è molto nuovo per me. Sul filo sembra un po 'diverso da HTTP. Posso vedere i pacchetti decifrati in Wireshark se filtro da "SPDY". Ma non riesco a bloccare il pacchetto che contiene le credenziali. Faccio una ricerca per la stringa che contiene la mia password e non restituisce nulla. Mi chiedo se le credenziali siano diverse in SPDY rispetto a quelle in HTTP. Sebbene quando uso il componente aggiuntivo Live HTTP Headers posso sicuramente vedere la password.

Alla ricerca di alcuni suggerimenti su come cercare le credenziali dell'utente all'interno di una sessione gmail su SPDY. Grazie!

    
posta user1720897 27.09.2014 - 17:35
fonte

1 risposta

3

Non sono un esperto di come funziona l'accesso a Gmail, ma suppongo che si basi sui cookie, che sono normali intestazioni HTTP.

In SPDY, le intestazioni HTTP sono compresse gzip nel frame SYN_STREAM su una base per connessione (non per frame), ed è per questo che non è possibile cercare stringhe che rappresentano valori di intestazione come si può fare con un semplice HTTP.

Wireshark ha un plug-in SPDY che farà questa decompressione per te (che non è banale da fare a mano) , in modo che Wireshark ti mostri le intestazioni decompressive effettive.

Ci sono anche una serie di video online che mostrano come decrittografare il traffico SSL e SPDY che è possibile cercare e che mostrano come Wireshark può decomporre i frame SPDY in un formato leggibile, ad esempio questo uno .

    
risposta data 27.09.2014 - 20:28
fonte

Leggi altre domande sui tag