Domande con tag 'ssl-interception'

1
risposta

Come posso curiosare su una connessione SSL autenticata?

La nostra azienda si collega a un servizio esterno tramite una libreria obsoleta (utilizzando un'estensione PHP per una versione precedente di PHP). Poiché questo richiede di avere una configurazione server isolata per questo servizio, ho contat...
posta 06.08.2017 - 16:09
2
risposte

Capire SSL man-in-the-middle e le sue limitazioni

Sto cercando di sviluppare un buon senso di come funziona un SSL man-in-the-middle (s) (MITM). A quanto ho capito, i MITM fanno il loro lavoro in due modi: Decifra il protocollo SSL con una copia della chiave privata del server. A rigor di t...
posta 03.05.2017 - 18:57
1
risposta

Attenuazione dell'assassino di fiducia SSL SSL?

Ho implementato il blocco SSL nell'applicazione Android, ma sono in grado di ignorare l'utilizzo di SSL Killer. Sto cercando una soluzione per essere in grado di rilevare o prevenire tali attacchi. Una soluzione è verificare la presenza di root...
posta 14.02.2017 - 16:48
1
risposta

Inducendo la rinegoziazione TLS

È possibile indurre la rinegoziazione di ssl per un browser tramite la riga di comando / una richiesta di arricciatura. So che è possibile limitare la ssl rinegoziazione ma non so come fallo al contrario. Ho trovato alcune affermazioni del...
posta 17.12.2016 - 13:38
1
risposta

ID sessione nel primo client Ciao

È normale avere l'ID sessione nel primo client Hello, quindi il server lo preleva e accetta lo stesso ID sessione e lo utilizza in tutto il traffico TLS. Questo è il "Client o Browser" che indica quale ID sessione utilizzare e "Server" lo accett...
posta 14.05.2018 - 16:04
1
risposta

Accettazione pagamenti con carta con certificato SSL SNI

Come parte di un'app che sto realizzando, sto realizzando una versione premium che elabora le carte per conto dei clienti utilizzando Stripe. i certificati SSL basati su SNI (Cloudflare) sono considerati meno sicuri per questo / un cattivo st...
posta 18.05.2017 - 02:35
1
risposta

Una domanda sui certificati HTTPS e le loro impronte digitali

Ultimamente, ho verificato le impronte digitali dei certificati HTTPS dei siti in cui effettuo l'accesso, utilizzando lo strumento di impronte digitali su grc.com per recuperare da quelli corretti e confrontandole con le impronte digitali che ef...
posta 19.02.2017 - 05:54
1
risposta

È possibile intercettare il traffico della VM guest sul Burpsuite della macchina host

Sto eseguendo Kali su Windows 7 tramite VMWare e vorrei poter accedere a siti Web di reti private, che non riesco a riuscire a fare. Così ho provato ad inoltrare il traffico di sistema alla macchina host e alla macchina host, ho configurato il b...
posta 20.03.2017 - 09:25
1
risposta

HSTS implementato ma non funzionante?

Durante il collegamento su una rete molto ristretta, ero in grado di accedere a Internet solo tramite un proxy Squid che era configurato solo per HTTP sulla porta 80. Durante la navigazione su google.com, riesco a ricevere il sito senza SSL a...
posta 24.01.2017 - 05:30
1
risposta

SSL Strip Punto di iniezione

Sto leggendo su SSL stripping e ho una domanda fondamentale sul punto di iniezione che rende questo attacco MITM un successo. Capisco lo scenario tipico - A (victim) <-- plain --> M (MITM) <== SSL ==> B (Server) Ora, supponia...
posta 17.11.2016 - 18:01