Ho un file CSV / Excel in cui voglio testare i collegamenti che non hanno SSL ma richiedono nome utente / password. Esiste un programma che determina se ciascun sito di un elenco crittografa le sue informazioni di accesso mentre viene inviato?
Ho un file CSV / Excel in cui voglio testare i collegamenti che non hanno SSL ma richiedono nome utente / password. Esiste un programma che determina se ciascun sito di un elenco crittografa le sue informazioni di accesso mentre viene inviato?
Sì. Puoi utilizzare uno sniffer di pacchetti come Wireshark per osservare il contenuto dei pacchetti di dati mentre viaggiano tra il sito web di interesse e il tuo computer.
Accedi utilizzando una stringa univoca come password e cerca in Wireshark per trovare quella stringa. Non importa se è la vera password o no, basta che venga inviata al server.
Se sei in grado di vedere quella stringa univoca in Wireshark, ciò significa che la password viene trasmessa in chiaro - cioè su HTTP.
Lo fai più o meno esattamente come potresti pensare di farlo. Osservi il traffico in volo e cerchi parole chiave o altri indicatori di password trasmessi. La parola "password" è praticamente un regalo morto. Le password comunemente usate (come "123456") sono anche una specie di pistola fumante. Se sai quale protocollo viene utilizzato (ad esempio, POP3, SMTP, ecc.), Decodifica il protocollo e cerca il campo della password.
Può essere automatizzato? Sì. Qualcun altro ha fatto il lavoro per te? No.
Strumenti utili in questa ricerca includono libpcap
, tcpdump
, tshark
, ngrep
, tcpflow
, e forse pochi altri.
Questo è solo un pensiero ma se hai un elenco di siti che vuoi visitare, che ne dici di eseguirne la scansione e di "grep" per il modulo di accesso che punta agli indirizzi http?
Leggi altre domande sui tag tls penetration-test