¿Por qué se requiere un certificado SSL válido para SSL-Strip?

0

Por lo que entiendo, SSL-Strip se ubica entre el usuario objetivo y el servidor, estableciendo una conexión HTTPS entre sí mismo y el servidor, y un canal HTTP simple y sin garantía entre él y el usuario objetivo.

Lo que me confunde es, en una demostración de video de la herramienta , uno de los requisitos previos era un certificado SSL .

¿Por qué se requiere el certificado? ¿No puede el "proxy de la computadora que actúa como un usuario falso" enviar el texto simple al usuario sin uno? De hecho, parece que la única razón por la que se requeriría un certificado SSL firmado sería si el intermediario le devolviera al usuario los datos cifrados HTTPS.

    
pregunta IQAndreas 26.12.2014 - 06:15
fuente

1 respuesta

2

SSLStrip puede funcionar de una de dos maneras:

  

Secuestrará de forma transparente el tráfico HTTP en una red, observará los enlaces y redirecciones HTTPS y luego los asignará a enlaces HTTP parecidos o enlaces HTTPS similares a homógrafos.

El video está hablando de este último. Así que aún puedes usar HTTPS, pero intenta engañar a la víctima para que vaya a enlace . Donde el atacante posee un certificado SSL válido para * .attacker.com. No es necesario un certificado SSL válido si simplemente reemplaza los enlaces https con enlaces http. es decir, enlace con enlace

enlace

    
respondido por el Steve Sether 26.12.2014 - 07:39
fuente

Lea otras preguntas en las etiquetas