针对非SSL表单发布到SSL的MITM攻击

时间:2011-09-03 08:06:40

标签: security ssl

根据this post我理解攻击者在向受害者过境时操纵非SSL表格的理论可能性;任何人都能明确表达这种操纵可能会发生在IRL上吗?包含所需工具集的分步示例将是理想的。

3 个答案:

答案 0 :(得分:7)

是的,可以针对SSL发布执行MITM ..这是它的工作原理..

  1. 首先,您需要对目标[受害者]计算机执行ARP中毒攻击,并确保来自该目标计算机的流量通过您的。一段时间后,我在博客上发表了这篇文章here。你可以为此而烦恼。

  2. 在您的计算机中配置sslstrip。我也会blogged关于此事。

  3. sslstrip的作用是 - 它会删除所有“https”并用“http”替换它们 - 所以目标机器和你之间的通信将是明文,你可以从目标机器上看到任何东西。

  4. sslstrip与终端服务器建立SSL连接。

    5. ...谢谢

答案 1 :(得分:2)

  • 浏览器使用HTTP下载表单。
  • 攻击者在传输过程中修改表单,将HTTPS回发地址更改为自己的URL。
  • 用户准备好提交表单后,将建立与服务器的HTTPS连接。
  • 由于攻击者修改了URL地址,因此用户将尝试连接到攻击者。
  • 攻击者的服务器将发送证书进行身份验证。
  • 通常,浏览器不会信任证书,浏览器会向您发出警告。
  • 用户必须按取消,否则数据将提交给攻击者 还有另一个案例。
  • 攻击者拥有由可信实体签名的证书。
  • 此时浏览器不会警告用户,攻击者将获取表单数据 如果这次攻击成功,IMO取决于用户的“受过教育”程度。

答案 2 :(得分:1)

是的,MITM攻击是可能的。但在这种情况下,用户将收到一条警告,指出无法为受尊重的站点验证证书。

这里有关于如何做到这一点的教程:

http://resources.infosecinstitute.com/mitm-using-sslstrip/

相关问题
最新问题