Sto cercando di utilizzare lo strumento SSLstrip con Ettercap su Kali Linux per attaccare il mio conto bancario personale e l'account yahoo a scopo di test.
Ho seguito le istruzioni di questo video (l'ho eseguito su Kali Linux non su Backtrack5) ed ero in grado di annusare le mie credenziali di molti siti Web.
Tuttavia, ho riscontrato i seguenti problemi:
-
I siti web che dispongono di una severa sicurezza di trasporto (HSTS) abilitata (come la posta YAHOO) hanno resistito all'attacco. Qualche lavoro in giro? (Come eseguire l'attacco SSLstrip su portali web abilitati HSTS?)
-
Il mio portale web della banca non ha abilitato HSTS come indicato da SSLlabs . Quindi sono stato in grado di accedere al mio conto bancario tramite una connessione SSLstrip. La barra degli indirizzi di Google Chrome mostrava una croce rossa (x) per indicare il falso certificato SSL utilizzato sulla connessione SSLstrip. Ciò indica che l'attacco ha avuto successo, tuttavia, lo strumento Ettercap non ha mostrato il nome utente e la password inseriti nel mio portale web di accesso alla banca !!! Qualche idea su come sono stati in grado di proteggere le credenziali dalla visualizzazione su una connessione SSLstrip?
Puoi verificarlo cercando di fornire le tue credenziali di web banking personali tramite una connessione SSLstrip stabilita attraverso una macchina virtuale sul tuo personal computer. Ti renderai conto che tutto procede liscio come se l'attacco avesse successo, ma lo strumento Ettercap non mostrerà le informazioni sulle credenziali del tuo conto bancario come per gli altri siti web. Ho testato vari portali bancari tra cui bankofamerica e ho scoperto che tutti non supportano HSTS ma lo strumento Ettercap non visualizzerà le credenziali immesse per nessuno di loro per ragioni sconosciute.