Inicio de sesión HTTP para el ataque iframe HTTPS / MiTM

1

Me gustaría saber si las credenciales pueden ser interceptadas / ataques MitM si el sitio está usando HTTP para el iframe de inicio de sesión HTTPS.

Aquí hay algunos detalles de inicio de sesión de mis herramientas de desarrollo de Chrome (datos de formulario)

Entonces puedo ver las credenciales en mi Chrome pero no puedo ver en Wireshark y puedo capturar esto en Burp?

Cache-Control:private
Content-Length:141
Content-Type:text/html; charset=utf-8
Location:/mobile/account.aspx
p3p:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Server:Microsoft-IIS/7.0

FbAccessToken:
ctl00$initfvk1$AccessTokenHiddenField:
ctl00$cph1$LoginForm$UserName:[email protected]
ctl00$cph1$LoginForm$Password:password123
    
pregunta Michal Koczwara 04.01.2016 - 13:31
fuente

2 respuestas

3
  

... si el sitio está usando HTTP para el iframe de inicio de sesión HTTPS.

Si lo entiendo bien, quiere decir que el marco de inicio de sesión se carga a través de HTTP, pero los resultados se envían a través de HTTPS. En este caso, no se puede usar un ataque MITM pasivo (es decir, sniffing solamente) para rastrear las credenciales porque se envían con HTTPS. Pero un ataque activo como sslstrip todavía se puede usar porque puede cambiar el destino del formulario de inicio de sesión y, por lo tanto, hacer que se envíen los datos de forma sencilla.

    
respondido por el Steffen Ullrich 04.01.2016 - 14:07
fuente
2

Siempre que el iframe de inicio de sesión utilice SSL / TLS, los datos enviados utilizando ese formulario son seguros. La razón por la que puede ver los datos en las herramientas de desarrollo de su navegador es que dado que el navegador es el punto final de la comunicación, su navegador puede ver los datos que se envían en las solicitudes HTTP subyacentes.

Sin embargo, tenga en cuenta que en su escenario, el usuario todavía es vulnerable a un ataque Man-in-the-Middle activo en el sentido de que la página principal no está protegida por SSL / TLS y, por lo tanto, la URL del iframe podría estar modificado. Como se explicó anteriormente, un ataque pasivo de Man-in-the-Middle no es posible en tu escenario.

    
respondido por el Wietze 04.01.2016 - 15:16
fuente

Lea otras preguntas en las etiquetas