Pregunta sobre manipulación indebida del lado del cliente y HTTPS

Navega tus respuestas
1

Alguien podría explicarme algo, por favor:

Estoy interceptando solicitudes en mi proxy local a un servidor HTTPS. El cuerpo de POST tiene datos como "ID = 4001" en texto sin formato cuando lo intercepto. En primer lugar, ¿es esto normal? ¿Está el HTTPS implementado en este servidor débil o sin brillo de alguna manera?

¿Alguien puede explicar por qué lo que considero información confidencial estaría en texto simple aquí?

  • ¿Los desarrolladores dejaron caer la pelota y la presentaron en texto simple para que el cliente la manipule fácilmente?
  • ¿Se cifraría esto si el HTTPS se configuró correctamente?
  • Debido a que estoy interceptando solicitudes localmente desde mi propia máquina, ¿HTTPS no tiene ningún beneficio hasta que la solicitud vuele a través de la red / transmisión?

Estoy interceptando las solicitudes localmente desde mi cliente directamente (no a través de la red, por así decirlo). Tratando de obtener un poco de claridad sobre esto para mi propio entendimiento, ¿tengo razón al pensar que en esta etapa el HTTPS tiene poco o ningún impacto y el ID = 4001 es un error en el extremo de los desarrolladores?

ps. esta identificación es muy confidencial y no queremos que alguien la conozca o la manipule con éxito.

Actualización: Supongo que mi pregunta es, puedo ver este parámetro / valor de ID en texto sin formato en burpsuite al interceptar paquetes de clientes contra una aplicación web que se ejecuta en un certificado HTTP autofirmado (asumo que -signado es irrelevante), ¿el hecho de que pueda ver este ID es un error en los desarrolladores? ¿O estoy siendo tonto y esto estaría encriptado en un entorno de producción real? ver imagen:

    
pregunta symon 08.08.2017 - 00:20
fuente

1 respuesta

2

Parece que ha configurado BurpSuite para permitir la supervisión del tráfico HTTPS. De acuerdo con la documentación :

  

De manera predeterminada, cuando navega por un sitio web HTTPS a través de Burp, el Proxy genera un certificado SSL para cada host, firmado por su propio certificado de Autoridad de Certificación (CA). Este certificado de CA se genera la primera vez que se ejecuta Burp y se almacena localmente. Para utilizar Burp Proxy de manera más efectiva con los sitios web HTTPS, deberá instalar el certificado de CA de Burp como una raíz confiable en su navegador.

     

Nota: si instala un certificado raíz de confianza en su navegador, entonces un atacante que tenga la clave privada para ese certificado puede ser capaz de administrar sus conexiones SSL sin una detección obvia, incluso cuando no lo está. utilizando un proxy de intercepción. Para protegerse contra esto, Burp genera un certificado de CA único para cada instalación, y la clave privada para este certificado se almacena en su computadora, en una ubicación específica del usuario. Si personas que no son de confianza pueden leer datos locales en su computadora, es posible que no desee instalar el certificado de CA de Burp.

Básicamente, BurpSuite está realizando un ataque de hombre en medio, aprovechando el hecho de que se ejecuta en la máquina local e instalando su propio certificado.

En el caso de uso normal, BurpSuite no está instalado en la máquina cliente y el pirata informático no tiene ninguna capacidad para instalar certificados raíz. Sin esta habilidad, el pirata informático no podría realizar un ataque de hombre en el medio sin activar una advertencia de seguridad en el navegador, que se vería un poco así en Chrome:

Para responder a sus preguntas:

  

¿Los desarrolladores soltaron la pelota y la presentaron en texto simple para que el cliente la manipule fácilmente?

No. El protocolo está funcionando según lo previsto. Te protegerá de los ataques Man-in-the-Middle lanzados en la red. No lo protegerá de un ataque Man-in-the-Middle iniciado por un proceso que se ejecute en su máquina local con la autoridad suficiente para instalar certificados. No existe ninguna tecnología en el universo que pueda proteger una máquina que se haya comprometido localmente de esta manera.

  

¿Se cifraría esto si el HTTPS se configuró correctamente?

  

Debido a que estoy interceptando solicitudes localmente desde mi propia máquina, ¿HTTPS no tiene ningún beneficio hasta que la solicitud vuele a través de la red / transmisión?

Correcto. En general, HTTPS no lo protege del acceso local (después de todo, las herramientas de desarrollo de Chrome también le permiten ver el tráfico); te protege de un oyente en la red que intenta espiar.

    
respondido por el John Wu 08.08.2017 - 00:58
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar un HMAC TLS después del hecho para verificar la autenticidad de un mensaje? [duplicar] ¿Se puede infectar el dispositivo USB de arranque en vivo con malware en el disco duro?