SSL Strip Punto di iniezione

1

Sto leggendo su SSL stripping e ho una domanda fondamentale sul punto di iniezione che rende questo attacco MITM un successo. Capisco lo scenario tipico -

A (victim) <-- plain --> M (MITM) <== SSL ==> B (Server)

Ora, supponiamo che M e A si trovino sulla stessa rete wifi del coffee shop e che M inizializzi il traffico di A per avvelenamento ARP ecc. Se A accede a B su SSL, allora il traffico M intercetta è crittografato. In che modo M è in grado di sostituire HTTPS con HTTP, rimuovere le intestazioni HSTS e così via quando tutto ciò che deve lavorare è un flusso crittografato? Immagino che l'intero carico utile, incluso l'URL (che includerebbe il protocollo "https: //"), sia crittografato.

In altre parole, dov'è il punto di iniezione da cui è possibile rimuovere / manipolare i dati crittografati? Accade più in basso nello stack di rete? Sarebbe in grado di cambiare protocollo a livello di pacchetto?

Alcuni post parlano di cerali di acquisizione pacchetti ma I ' Non sono sicuro che esista un modo ben accettato per rimuovere SSL senza poter decifrare i dati.

    
posta katrix 17.11.2016 - 18:01
fonte

1 risposta

1

How is M able to replace HTTPS with HTTP, strip HSTS headers and so on when all he has to work with is an encrypted stream?

Non possono. Un attacco strip SSL richiede un flusso inizialmente non criptato con cui lavorare. ignora SSL piuttosto che attaccarlo. L'idea è di impedire al tuo browser di avviare una connessione HTTPS trasformando i reindirizzamenti e i collegamenti alle pagine HTTPS in semplici HTTP. In alternativa, possono anche reindirizzare a una pagina HTTPS effettiva, ma modificare il nome del dominio in uno simile di proprietà dell'aggressore (ad esempio https://faceboook.com ). Questo ha il vantaggio di mostrare ancora il blocco dell'indicatore SSL verde (ma un nome di dominio falso).

Un punto di iniezione comune sarebbe quando un utente digita per la prima volta mybank.com nella barra degli indirizzi e (dato il sito non è nella lista di precarico HSTS ) il browser inizia per la prima volta con una normale richiesta HTTP in cui riceverebbe una risposta non crittografata che li reindirizza a HTTPS. Questa risposta è solitamente l'ultima volta che puoi manomettere il traffico sul livello dell'applicazione.

HSTS è fiducia al primo utilizzo . Se l'utente malintenzionato non cattura la vittima durante il suo primo tentativo di connessione HTTP semplice in cui è ancora possibile rimuovere l'intestazione HSTS, in futuro non avrà esito positivo perché il browser impedirà qualsiasi HTTP normale fino alla scadenza dell'intestazione HSTS.

    
risposta data 17.11.2016 - 18:10
fonte

Leggi altre domande sui tag