¿Cómo frustrar el ataque sslstrip?

11

Necesito ayuda para comprender la dinámica de un ataque sslstrip. Lo estoy usando para probar la seguridad de un sitio que poseo. Puedo olfatear con éxito las credenciales de la víctima (en este caso, yo mismo) a través de Internet, pero cuando ocurre el mismo ataque contra el tráfico de Gmail o MSN, no recibo nada. Es completamente estático en ese caso. Estoy usando un certificado de go-daddy para asegurar mi intercambio de SSL.

¿Significa que su ssl es seguro y el mío no? Al igual que el certificado ssl cert generado por sslstrip, es capturado y bloqueado por su seguridad ssl cert cert y el mío está configurado en un modo inseguro. ¿Los dispositivos como el equilibrador de carga KEMP hacen algo para evitar este tipo de ataques?

¿Qué debo hacer para evitar que mi sitio sufra dichos ataques? Gracias.

    
pregunta Saladin 24.01.2012 - 18:54
fuente

2 respuestas

10

IIRC, SSLStrip no realiza un ataque SSL-MITM tradicional. Lo que hace es ver el tráfico HTTP, buscar enlaces y redireccionamientos al tráfico HTTPS y reescribir esos enlaces / redireccionamientos a HTTP. Un vistazo rápido a su sitio web lo confirma.

Por lo tanto, debe tener alguna página no ssl que enlace / redireccione a una página ssl. SSLStrip ve eso y cambia el enlace / redireccionamiento a un enlace / redireccionamiento no seguro. Por ejemplo, puede tener index.php enlazando a enlace . SSLstrip lo cambia a enlace . Puede verificar esto escribiendo en su navegador enlace y ver si SSLStrip sigue viendo el nombre de usuario y la contraseña (o cuando hace clic en el inicio de sesión enlace, vea si tiene http o https en la barra de url en el navegador).

Usted frustra este ataque por

  1. Haga que su sitio sea solo SSL.
  2. Para cualquier servidor web que use (Apache, IIS, etc.), debería haber una manera de forzar que ciertos directorios solo sean accesibles a través de conexiones SSL. Haga que todo el contenido autenticado sea solo SSL. Una simple búsqueda en Google debería revelar cómo hacer esto para una determinada pieza de software de servidor.
respondido por el mikeazo 25.01.2012 - 13:33
fuente
2

IIRC debe recibir una advertencia al revisar HTTPS de que el certificado no coincide, a menos que tenga el certificado real.

SSLstrip reescribe HTTPS para borrar HTTP al parecer.

También, ¿por qué SSL tira utilizar una clave pública "pícara"? Utiliza la clave pública del sitio web.

Hay una forma de protegerse, pero su navegador debe admitirlo. (leer abajo)

La razón por la que no funciona es porque probablemente lo estás haciendo con Chrome o Firefox o con cualquier otro navegador principal. Utilizan Seguridad de transporte estricta de HTTP .

Tiene dos propiedades:

  1. Convierta automáticamente cualquier enlace inseguro al sitio web en enlaces seguros. (Por ejemplo, enlace se modificará a enlace antes de acceder al servidor.)
  2. Si no se puede garantizar la seguridad de la conexión (por ejemplo, la el certificado TLS del servidor es autofirmado), muestra un mensaje de error y no permita que el usuario acceda al sitio.
respondido por el Lucas Kauffman 24.01.2012 - 21:38
fuente

Lea otras preguntas en las etiquetas