¿Por qué puedo ver las credenciales de Autenticación básica en texto sin formato cuando uso SSL?

Question

¿Por qué puedo ver las credenciales de Autenticación básica en texto sin formato cuando uso SSL?

#1 de buherator (6 votos)

1

Acabo de leer esto sobre la seguridad de la autenticación básica sobre SSL: ¿Es BASIC-Auth seguro si se realiza a través de HTTPS?

Y no lo entiendo. Acabo de instalar ProxyDroid (http proxy) en mi dispositivo Android rooteado e inicié BlurpSuite en mi máquina Ubuntu.

La primera solicitud que vi fue una llamada de Exchange ActiveSync a un servidor corporativo a través de SSL.

En esta solicitud, BurpSuite, en mi máquina Ubuntu, me presentó los encabezados totalmente legibles y sin cifrar, incluidas las credenciales codificadas en base64.

También este hilo indica claramente que los encabezados también deben estar cifrados: enlace

¿Cómo es esto posible? ¿Paso por alto algo?

Lo que me preocupa es que asumí que SSL evita el engaño de los ataques de intermediarios, pero esto no parece aplicarse aquí.

authentication tls proxy

pregunta derFunk 13.07.2013 - 22:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication tls proxy

Interceptar conexiones en lugar de reenviar (usando arpspoof) Impedir que mi sitio sea detectado y modificado por los ataques del hombre en el medio

score 6 · Accepted Answer

Los ataques Man-in-the-middle se evitan en canales seguros SSL mediante el uso de certificados de host firmados por terceros de confianza ( Autoridades de certificación ). Burp Suite puede generar certificados para nombres de host arbitrarios, pero no puede firmarlos. Si se conecta a un sitio HTTPS a través de un navegador estándar a través de Burp, verá una ventana de advertencia que le indicará que no se puede verificar la identidad del host remoto. Si ignora la advertencia, Burp interceptará y descifrará todo el tráfico (incluidos los encabezados) para usted.

En su caso, parece que una de las aplicaciones en su dispositivo Android acepta certificados no confiables generados por Burp:

Exchange ActiveSync puede simplemente ignorar el hecho de que se conecta a un host con un certificado falsificado
ProxyDroid puede proporcionar una interfaz HTTP para ActiveSync e ignorar el certificado del servidor
ProxyDroid puede haber instalado su propio certificado de CA en su dispositivo y proporcionar una interfaz HTTPS para ActiveSync.

En resumen, SSL puede protegerlo de los ataques MitM solo si sus aplicaciones realmente verifican los certificados digitales de los hosts remotos a los que se conectan.