Aclaración de detalles con respecto a un Ataque de eliminación de SSL

Navega tus respuestas
1

Estoy buscando una aclaración de algunos de los detalles de un ataque de eliminación de SSL.

Mi entendimiento actual es que:

  1. El atacante se sienta entre la víctima y un servidor.

  2. Cuando los atacantes reciben una solicitud HTTP de la víctima, el atacante envía la solicitud al servidor utilizando HTTPS

  3. Cuando el atacante recibe la respuesta del servidor, elimina los enlaces HTTPS y luego envía la respuesta a la víctima mediante HTTP

Estos son algunos de los detalles que me faltan:

  1. La respuesta del servidor al atacante está en HTTPS y está cifrada. ¿Cómo puede el atacante leer el contenido para quitar los enlaces HTTPS?

  2. ¿Se están eliminando los enlaces HTTPS en el cuerpo de la respuesta del servidor?

  3. ¿Se debe cambiar algo en el encabezado de respuesta antes de enviar la respuesta a la víctima?

pregunta user137481 01.11.2018 - 19:15
fuente

2 respuestas

3

Tu entendimiento es correcto.

  1. Esto se debe a que el atacante estableció la comunicación HTTPS, por lo que, cuando recibe la respuesta del servidor web, se descifra y se reenvía a la víctima.

  2. Sí, todos los enlaces HTTPS en el cuerpo se reemplazan con enlaces HTTP, como el encabezado Location .

  3. sslstrip analiza los encabezados de respuesta y

    • elimina accept-encoding

      Creo que esto es así para que el atacante no tenga que descomprimir y volver a comprimir todas las solicitudes del cliente al analizarlas.

    • elimina if-modified-since

      Esto es para que el cliente tenga que realizar una solicitud completa al servidor, incluso si la página no se ha modificado. Este encabezado debe eliminarse porque, de lo contrario, no hay una solicitud completa al servidor y no hay nada que interceptar.

    • elimina cache-control

      Esto se debe a la misma razón que if-modified-since , por lo que el cliente no intenta cargar la página desde un caché y evita realizar una solicitud completa de la solicitud al servidor.

    • cambia el enlace en el encabezado Location a HTTP
respondido por el Joe 01.11.2018 - 19:55
fuente
1

1: ¿Cómo puede el atacante leer el mensaje cifrado?

El atacante es el que se conecta directamente al servidor, no a la víctima, por lo que el servidor configura el cifrado con el atacante.

2: ¿Se han eliminado los enlaces del cuerpo del mensaje?

Sí. Y dado que el atacante ya puede leer la versión en texto sin formato, esto es trivial.

3: ¿Es necesario cambiar el encabezado de la respuesta?

Probablemente no. Sin embargo, es poco probable que el atacante reenvíe los encabezados del servidor directamente a la víctima, ya que esto es un trabajo adicional más allá de la configuración de un servidor proxy simple.

    
respondido por el Ghedipunk 01.11.2018 - 19:39
fuente

Lea otras preguntas en las etiquetas

¿Hay algún problema de seguridad al acceder a mi computadora portátil a través de WIFI? Ignorar transmisiones a 10.0.0.255 usando iptables