Riscrittura del payload HTML?

-1

Ho letto un articolo su alcuni annunci di hotel injection su ogni pagina web utilizzando un router: link

Sarebbe possibile farlo con qualsiasi software esistente? (come in uno scenario Man-In-The-Middle?) Iniettando gli script in ogni browser che si collega al Man-In-The-Middle?

    
posta user101579 04.05.2012 - 16:18
fonte

3 risposte

4

Come altri già menzionati, puoi usare il proxy trasparente di calamaro e configurarlo per riscrivere alcune richieste / risposte. L'ho fatto in passato con un backend PHP / Apache, il progetto si chiamava calamaro -imposter .

L'altra opzione è quella di utilizzare il progetto sslstrip , che modifica già il traffico HTTP, quindi è un buon inizio. Dai un'occhiata a il mio fork di sslstrip che ha una manomissione della risposta integrata.

    
risposta data 04.05.2012 - 20:27
fonte
1

L'hotel possiede e gestisce i router e i proxy sulla propria rete, quindi non è tecnicamente un MITM, ma la parte normale della catena. È semplice ri-scrivere HTML al volo per sostituire elementi di una pagina con qualcos'altro.

Lo standard di fatto in quest'area è calamaro . Puoi configurarlo come proxy trasparente e aggiungere uno script a cambia ciò che desideri. Il famoso scherzo con questo metodo è il netwarini e la rete capovolta ( link ).

Spero che questo aiuti.

    
risposta data 04.05.2012 - 18:02
fonte
0

Non sono abbastanza sicuro di quello che chiedi "[w] potrebbe essere possibile farlo con qualsiasi software esistente?" Stai chiedendo se ci sono soluzioni software esistenti che possono iniettare script in una sessione web?

Immagino che tu stia chiedendo il "perché" e "come" e le implicazioni dal punto di vista del rischio. Innanzitutto, quando si è su una rete pubblica (la rete wifi dell'hotel è piuttosto pubblica), la connessione attraversa la rete dell'hotel (di solito in outsourcing per alcuni fornitori). Con il traffico HTTP non crittografato, un'appliance (di solito un dispositivo basato su Linux) può essere distribuita in linea (logicamente o fisicamente) per intercettare, monitorare e modificare il traffico in base a determinati set di regole / criteri. I proxy di inoltro sono un'implementazione abbastanza comune di dispositivi che intercettano il traffico web in uscita. I proxy di inoltro possono essere distribuiti in modo tale che tutto il traffico HTTP e HTTPS venga terminato sul proxy prima di continuare nella destinazione prevista.

I proxy di inoltro (e altre tecnologie per intercettare, modificare, monitorare) vengono comunemente utilizzati nelle impostazioni aziendali. Di solito sono distribuiti anche in biblioteche, su Amtrak, su Internet wireless in gogo wireless e in molte altre aree pubbliche). Di solito vengono impiegati per assicurarsi che le persone non stiano facendo cose che non dovrebbero fare e per proteggere il provider di rete dalla responsabilità legale (ad esempio il kiddie porn). Tuttavia, la tecnologia può essere implementata per consentire più ... obiettivi discutibili. Nel caso dei gateway di estrazione dei ricavi (RXG), vengono implementati dai provider di rete per fare soldi con i propri utenti.

I siti HTTPS rappresentano una sfida unica. A causa dell'architettura e dei passaggi di convalida, il proxy forward deve essere in grado di "falsificare" un certificato "valido" che il browser considera affidabile. Solitamente l'intercettazione di https è implementata solo nelle impostazioni aziendali e nelle reti aziendali (dove gli utenti non hanno davvero molto in termini di privacy). Pertanto, se esegui il browser dei siti HTTPS nelle posizioni in cui vengono distribuiti i RXG, probabilmente non sarai soggetto all'iniezione di script di terze parti, dannosi o meno. Sono stati verificati report in cui una CA pubblica ha tagliato una subCA per determinate distribuzioni, quindi non vi è alcuna garanzia che un sito HTTPS sia valido a meno che non si sia a conoscenza di PKI.

    
risposta data 04.05.2012 - 17:28
fonte

Leggi altre domande sui tag