Estoy asistiendo a un curso particular sobre seguridad del sistema. Un ejemplo específico es transitar la contraseña en texto sin formato cuando se desarrolla una aplicación web (como parte de un proyecto de clase).
A lo largo de los años, un grupo de estudiantes no se preocupa realmente por cifrar las contraseñas o evita el uso de SSL como una posible solución (es decir, un hash SHA-128/256 de la contraseña se envía por cable en caso de texto simple pero aún sin SSL. Por lo tanto, puedo realizar un ataque de repetición).
Quiero poder "demostrar los peligros" del hombre en el medio (MITM) y no estoy seguro de cómo hacerlo. Los alumnos se preguntan si alguien es realmente capaz de lograrlo y sienten curiosidad por cómo . Pensé que sería bueno 'mostrárselo'.
Así que aquí están los escenarios:
- La misma conexión wifi pero sin control sobre la configuración de wifi (es decir, wifi de la universidad)
- Mismo wifi donde puedo controlar cualquier configuración de wifi que desee (es decir, enrutador, etc., bajo mi control en nuestro laboratorio)
- adversario arbitrario a través de internet
Ahora, creo que una 'demo' de 2 y 3 debería ser suficiente con una 'idea' de cómo se explota # 3 en la práctica (no pretendo criar hackers. Pero si hay una manera de demostrarlo también sería una guinda del pastel;)
¿Cómo puedo Demo exactamente el ataque MITM y mostrarles que obtuve acceso a su contraseña de 'texto simple' o 'hash' y obtuve acceso a dicho sistema? Herramientas para usar, scripts para escribir o un tutorial sobre 'cómo hacerlo' serían suficientes.