SSLStrip esegue DOS

1

Stavo cercando SSLstrip sul mio PC Windows come obiettivo poiché Internet Explorer sembra essere l'unico browser vulnerabile a questo attacco.

Ho eliminato tutta la cronologia di navigazione e quando il sito viene rimosso in HTTP, il browser si trova lì in attesa della connessione ma non lo fa mai, cioè un DOS di qualche tipo. È un risultato del sito che utilizza HSTS; Pensavo che se la cronologia del browser fosse stata cancellata, l'HSTS non funzionava? Perché succede?

E quando funziona, ricevo questo messaggio di errore:

exception.runtimeerror : request.write called on a request after request.finish was called

    
posta dylan7 31.07.2015 - 17:50
fonte

1 risposta

1

since Internet Explorer seems to be the only browser vulnerable to this attack.

Questa è la falsa ipotesi che è in gran parte responsabile della tua situazione perché su febbraio 2015 , Microsoft ha già rilasciato HTTP Strict Transport Security in Internet Explorer 11. È chiaro, per quanto riguarda l'errore messaggio che hai, che la tua versione di IE è 11 o superiore.

i.e a DOS of some sort

No, lo stripping SSL non ha nulla a che fare con il DoS.

exception.runtimeerror : request.write called on a request after request.finish was called

È normale che tu abbia ricevuto quell'errore dal momento che conosci lo scopo dell'HSTS e che non solo non riesce a far fallire la tua connessione, ma può anche, nel caso tu tenti il tuo MITM su altri utenti, informarli (le tue potenziali vittime) che loro sono stati manomessi da una terza parte.

And when it does work I get this error message :

Ora puoi indovinare che hai interpretato erroneamente gli eventi: dal momento che il messaggio di errore di per sé ti avvisa che la connessione è fallita.

Ora, una domanda che potresti chiedere: è questa la fine di SSLstrip? Fortunatamente (o sfortunatamente, a seconda dei colori che indossi), esiste un altro strumento opensource che utilizza una versione aggiornata di SSLstrip chiamata mana . Se stai usando Ubuntu, Kali o qualsiasi altra distribuzione Debian, puoi installarlo con runnin:

apt-get install mana-toolkit

Quindi oltre alle limitazioni HSTS , il mana supera e trucca HSTS.

    
risposta data 01.08.2015 - 13:12
fonte

Leggi altre domande sui tag