Domande con tag 'man-in-the-middle'

domande con tag
0
risposte

Proxy HTTP per SSL basato su smart card

Sto provando a pentestare un'applicazione web, che sembra utilizzare la smartcard dell'utente per creare il tunnel SSL, e da quell'implementazione dell'autenticazione con smartcard. Il mio problema è che non ho trovato un proxy, che è in grado d...
posta 31.03.2017 - 16:49
0
risposte

Avvelenamento da cache DNS

Sto imparando come eseguire un attacco di avvelenamento della cache DNS. Corro tutto su un ambiente VM isolato, solo per scopi didattici. L'installazione è una macchina Linux con Unbound Server DNS configurato come un resolver ricorsivo...
posta 27.06.2017 - 21:21
0
risposte

Perché la scansione crittografata / Scansione HTTPS impedisce l'utilizzo del certificato utente / personale? [duplicare]

La mia azienda offre un prodotto che utilizza un certificato Web personale (pfx) come mezzo secondario per verificare l'accesso dell'utente (o, più precisamente, il computer). Il più delle volte, questo funziona senza problemi. Tuttavia, negli...
posta 20.10.2017 - 21:16
0
risposte

dnsspoof e bettercap non dns-spoofing

Voglio dns spoof il mio telefono, perché sento che sarebbe un esperimento interessante da fare. Non funziona (maledetto telefono continua a connettersi a Internet) e apprezzerei davvero qualsiasi suggerimento o idea su come farlo funzionare. Pos...
posta 24.04.2018 - 15:25
3
risposte

IP Spoofing con IP reale quando è stata effettuata l'handshake TCP a 3 vie

In una situazione, in cui l'IP spoofato è un IP remoto reale esistente e si scopre che l'handshake TCP a 3 vie è stato creato con un server. La macchina MiTM invia il pacchetto con IP falsificato al server. L'IP reale riconosce l'ACK inviato...
posta 11.10.2016 - 09:34
1
risposta

garantisce che la chiave pubblica non venga compromessa sulla strada per il destinatario quando il mittente ha una chiave pubblica dei destinatari

Diciamo che ho una situazione in cui un mio amico ha la mia chiave pubblica OpenPGP (che è visibile pubblicamente su una pagina web, ma l'ho consegnata personalmente su un pezzo di carta), non conosco la sua chiave pubblica e ho bisogno di invia...
posta 25.10.2016 - 18:29
0
risposte

Cercando di riprodurre l'attacco MiTM

In primo luogo, vorrei chiarire 2 punti: Ho esitato tra la pubblicazione qui o lo stackoverflow. Non capisco davvero se sia il mio codice o qualche tipo di sicurezza sul mio router. Quindi, se pensi che questa domanda non debba essere pubbli...
posta 26.09.2016 - 19:18
0
risposte

Se cancello i miei dati di navigazione, la protezione HSTS è stata rimossa?

Ho notato che se elimini cookie e altri dati su Google Chrome, SSLStrip + funziona correttamente su quei siti Web che non sono inclusi nell'elenco dei browser. È perché anche i dati HSTS sono cancellati?     
posta 08.04.2016 - 21:24
1
risposta

Il traffico non è crittografato dato ERR_CERT_COMMON_NAME_INVALID?

Se mi viene mostrato ERR_CERT_COMMON_NAME_INVALID, e posso vedere che i domini non corrispondono (cert per * .example.com ma sto visitando link ), ho capito correttamente che qualcuno sniffing di pacchetti vedrà ancora il traffico crittografat...
posta 28.07.2016 - 16:28
1
risposta

MITMf può sfruttare la vulnerabilità SSL CCS (CVE-2014-0224)?

Mi chiedo se il MITMf ( link ) possa essere usato per sfruttare il bug del CCS del 2014, o ci sia uno strumento lì quale può (preferibilmente open source, quindi sarò in grado di capire il modo di sfruttamento)?     
posta 02.10.2015 - 09:21