SSLStrip:监视SSL流量

Moxie Marlinspike出席了 黑帽2009 一个叫做 SSLStrip, 针对 让用户相信自己在使用SSL加密的网站上,而实际上所有数据都是公开传输的。 此外,SSLStrip还会欺骗Web服务器,即使该站点继续表现正常,该Web服务器也会绕过其所谓的加密。

据我发现,这种方法仍然有效。 威胁仍然存在,我们都受到了威胁。 布哈哈哈...

让我们从基础开始:SSL到底是什么?

对于那些不知道的人,请使用安全套接字层(SSL; 安全套接字层协议)及其后继的传输层安全性(TLS;传输层安全性)是 在网络上提供安全通信的加密协议,通常是互联网。

SSL在诸如HTTP,SMTP,NNTP之类的应用程序协议之间的层上运行,并通过TCP传输协议运行,该协议是TCP / IP协议家族的一部分。 尽管它可以为使用信任连接的任何协议(例如TCP)提供安全性,但在大多数情况下,它与HTTP一起使用以形成HTTPS。 HTTPS 用于保护Web应用程序的万维网页面的安全。 电子商务,使用公共密钥证书来验证端点的身份。

SSLStrip…色情影片回到了“让我们使用Linux”吗?

的运作 SSLStrip 很简单, 替换所有HTTPS请求 HTTP来访问网页,然后执行MITM(攻击«中间人«)在服务器和客户端之间。 这个想法是受害者和攻击者通过HTTP进行通信,而攻击者和服务器通过HTTPS与服务器的证书进行通信。 因此,攻击者可以看到受害者的所有明文流量。

这是一个视频,我们可以看到这个出色的工具的工作原理。

如何使用SSLStrip

1.- 配置IP转发

回声1> / proc / sys / net / ipv4 / ip_forward

2.- 在两台计算机之间执行ARP MITM攻击:

arpspoof -i eth0 -t VICTIMA主机

3.- 使用iptables重定向流量:

iptables -t nat -A路由-p tcp –目标端口80 -j重定向–至端口8080

4.- 在使用的端口上启动SSLStrip

python sslstrip.py -w文件

如何保护自己免受SSLStrip攻击?

这是最美丽,最可怕的: 这不可以.

如Moxie(他的 电影 不会浪费超过69分钟的时间)唯一可行的解​​决方案是对所有HTTP连接进行加密,也就是说,无论页面或服务是什么,在其所有实例中都将通用和通配的“ HTTP”替换为“ HTTPS” 。 正如Moxie所说:依赖不安全协议的安全协议是一个问题«。

作为用户,您至少可以做什么? 减少被攻击的机会? 以偏执的方式验证每个页面前面是否都有一个“ https”被泄露,或者如果安装了Firefox用户 NoScript的 并在所有页面上强制HTTPS连接。 但是,这只会使效果最小化,而不能否定效果。

数据来源: 龙jar & 莫邪

感谢Francisco向我们传递信息!

7条评论,留下您的评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。

  1.   吉多·伊格纳西奥(Guido Ignacio)

    嗯...关于https可以保护您免受快捷方式的攻击,它是相对的。

    我不知道mitm攻击在多大程度上不能成功针对SSL连接,mitm攻击在链路层上起作用,而ssl在传输层上起作用,因此可以捕获数据。

    很久以前,我正在对我在本地网络中使用mitm进行的一门课程的工作进行测试,并且可以获取SSL发送的数据,尝试使用hotmail(它是ssl),它可以成功返回密码。 只是认为攻击者冒充了网关并从受害者那里接收了所有信息。

    知道您的信息安全旅行的唯一方法是使用ssh隧道。

    如果我感到有些迫害,该怎么办,就是使用ssh连接到我的服务器,通过本地端口建立隧道,打开套接字并在家中使用Internet连接在其他人的计算机上导航。

    正如他们所说,除了通过Mac保护我们的dhcp并确保有谁进行连接之外,没有其他方法可以避免这种攻击。

  2.   帕布罗德

    您好,在命令4中您丢失了“ -l 8080”

  3.   让我们使用Linux

    好的。 谢谢!

  4.   马丁·法里亚斯

    更具体地说,一旦MitM攻击,您将无法再保护自己。 有多种保护自己免受这种攻击的方法,尽管这很困难,因为它具有变体。

    编辑:

    我发现至少从2012年XNUMX月起,chrome和firefox浏览器(如果现在都使用它们,我就不会感到惊讶)使用HSTS标头。 据说,此标头通过通知浏览器“第一次”尝试连接到站点后“连接”必须始终使用SSL来解决漏洞(这使漏洞保持在最低限度)。 此外,Chrome通过添加HSTS网站列表(可能是网络上最受欢迎的网站)来提高安全性。 资源: http://forums.hak5.org/index.php?/topic/25322-sslstrip-not-working-with-gmail-twitter/

  5.   HacKan&CuBa公司

    很好,我认为这很棒。 这个想法真的很简单😀

  6.   让我们使用Linux

    也是...

  7.   室内乐

    有谁知道当我们在网络上有多个主机时是否可以使用arpspoof? 谢谢。