Come far funzionare dnsspoof per i siti https?

0

Ho provato a dnsspoof della macchina vittima per dire "www.imdb.com" (con l'aiuto di setoolkit e ettercap). Ma il sito è ssl https, quindi Ho letto qui che dnsspoof non funzionerà per i siti https. Come citato nel link fornito:

As part of the SSL handshake process, your server will need to send a valid certificate for securesite.com which contains the public key.

At this point, you have 2 options.

1) Send the legitimate certificate. This will check out since the certificate is signed by a trusted CA. The client will then encrypt the master secret using the public key. It breaks down at this point, because without the private key, you cannot decrypt the master secret and thus you can't finish the connection setup.

C'è un modo per "inviare il certificato legittimo"?

    
posta Aman Grover 26.10.2017 - 08:34
fonte

1 risposta

1

Is there a way to "send the legitimate certificate" ?

Se sei il proprietario del sito che vuoi spoofare, puoi ottenere un certificato legittimo da una CA fidata dal browser.

Se non sei il legittimo proprietario, spero che non sarai in grado di ottenere tale certificato. Se si desidera creare qualcosa solo per test interni, è possibile creare la propria CA e utilizzare questa CA per emettere certificati personalizzati. Ovviamente devi aggiungere questa CA come attendibile in ogni client che vuoi spoofare per essere trattato come un certificato legittimo.

Per ulteriori informazioni, consulta Fa https prevenire gli attacchi man in the middle dal server proxy?

    
risposta data 26.10.2017 - 09:29
fonte

Leggi altre domande sui tag