¿Funciona sslstrip solo en sitios web que usan HTTP y HTTPS?

7

¿El ataque sslstrip solo funciona en sitios web que usan HTTP y HTTPS? En Quora un comentarista dice que:

  

Una cosa a tener en cuenta es que, SSL Strip solo funciona en sitios web que usan   tanto HTTP como amp; HTTPS. Por ejemplo, Ebay, donde se termina la página principal.   HTTP, pero luego se transfiere a HTTPS para el inicio de sesión, compra & pronto.   Para defenderse de estos ataques, se recomienda utilizar SSL.   en todo el sitio, en otras palabras, para usar solo HTTPS y no HTTP.   Otra forma es usar HSTS (Strict Transport Security), esto lo hará   el navegador de comandos se conecta solo a través de HTTPS y nunca a través de HTTP.

Pero sé que Google no está utilizando HTTP y HTTPS; solo están usando HTTPS y también están usando el encabezado HSTS contra los ataques sslstrip. ¿Significa eso que el comentario anterior es falso? Quiero decir, ¿aún es posible el ataque SSLStrip contra un sitio web que solo usa HTTPS?

    
pregunta Hasan 11.04.2018 - 15:39
fuente

3 respuestas

0

La respuesta:

Tomemos un escenario en el que hay una máquina de víctimas (A), una máquina de ataque (B) y un servidor (C). La tira SSL se está ejecutando en la máquina del atacante, que es un servidor proxy. Por lo tanto, no hay una conexión directa entre la víctima y el servidor.

La víctima A quiere transferir dinero de su cuenta a través de un servicio de banca en línea e ingresa la siguiente URL en la barra de direcciones del navegador:

www.foobank.com/online_banking

En segundo plano, el navegador de la víctima que está conectado a la máquina del atacante espera la respuesta del servidor. El atacante B reenvía la solicitud de la víctima A y espera la respuesta del servidor del banco. La conexión entre B y C es segura, lo que significa que todo el tráfico que se transfiere entre ellos (B y C) se realiza a través del túnel SSL.

El servidor del Banco responde con la página de inicio de sesión que tiene la siguiente URL:

enlace

En esta etapa, el atacante tiene acceso a la página de inicio de sesión. A continuación, el atacante (B) modifica la respuesta del servidor de https a http y la envía a la víctima (A), lo que hace que el navegador se dirija ahora a enlace .

En este punto, la víctima tiene acceso a la página de inicio de sesión de banca por Internet con una conexión insegura con el atacante. A partir de este punto, todas las solicitudes de la víctima se enviarán en formato de texto simple y el atacante podrá rastrear los datos y recopilar las credenciales.

El servidor cree que ha establecido con éxito la conexión, que en este escenario es entre el atacante y el servidor (es decir, entre B y C), mientras que la víctima (A) también piensa que es un servidor legítimo (C ).

Entonces

  

SSLStrip no depende del comportamiento del servidor, depende de la   cliente. Si puede hacer que el cliente realice la solicitud a través de HTTP,   En lugar de HTTPS, puede realizar el ataque, incluso si el servidor solo   soporta HTTPS. HSTS evita que el navegador realice el plano   Solicitud HTTP en primer lugar (en solicitudes posteriores).

Conclusión:

Google solo usa HTTPS y usa el encabezado HSTS contra los ataques SSLStrip. Debido a que los ataques SSLStrip pueden ocurrir incluso si el servidor web está usando solo HTTPS.

Recurso: enlace

    
respondido por el Hasan 12.04.2018 - 15:45
fuente
23
  

SSL Strip solo funciona en sitios web que usan tanto HTTP como amp; HTTPS.

Eso no es preciso porque implica desactivar el soporte de HTTP contra el ataque.

El punto es que sslstrip interviene cuando el usuario solicita un sitio a través de HTTP simple primero. Se trata de cómo el navegador intenta conectarse al servidor, no de lo que el servidor admite. Solo está seguro si el navegador no intenta una conexión HTTP simple (debido a una directiva HSTS que se ha visto anteriormente o porque el sitio web está en el navegador Lista de precarga HSTS ).

  

Quiero decir, ¿es posible el ataque SSLStrip contra un sitio web que solo usa HTTPS?

Sí. Digamos que https://yourbank.example/ no sirve nada sobre HTTP simple. Ahora, te envío un enlace a http://yourbank.example/ de todos modos. Cuando su navegador intenta la solicitud simple, uso sslstrip para interceptarlo y responder con un sitio de phishing. Como puede ver, es irrelevante si el sitio original hubiera servido cualquier contenido a través de HTTP simple porque de todos modos no reenvío la solicitud.

    
respondido por el Arminius 11.04.2018 - 15:55
fuente
4

Sslstrip requiere que la conexión entre el cliente y la instancia sslstrip se realice a través de HTTP simple. La conexión de sslstrip al servidor puede ser HTTP y HTTPS.

Esto significa que si el cliente solicita primero el sitio con HTTP simple, entonces sslstrip funciona. Si, por el contrario, los clientes ya comienzan con HTTPS, ya que sabe que HTTPS solo puede acceder al sitio o si el navegador aplica HTTPS debido a una política HSTS (precargada o de visitas anteriores), entonces sslstrip no funcionará.

    
respondido por el Steffen Ullrich 11.04.2018 - 15:46
fuente

Lea otras preguntas en las etiquetas