Burpsuite 1.5 iniciando la conexión TLS en su IP al puerto 443. ¿Qué es?

Question

Burpsuite 1.5 iniciando la conexión TLS en su IP al puerto 443. ¿Qué es?

#1 de Rоry McCune (3 votos)
#2 de Thomas Pornin (3 votos)
#3 de Callum Wilson (1 votos)

5

Recientemente comencé a usar una herramienta de seguridad (Burpsuite 1.5) que tiene una licencia gratuita y una profesional. Al descargar el programa gratuito desde el sitio web de su proveedor (estoy usando BackTrack), noté en mi Wireshark que cada vez que abro la herramienta, se establece una conexión TLS con la IP del proveedor en su puerto 443. Esta conexión permanece abierta y Intercambiar información mientras la herramienta se mantenga abierta. Como no sé qué se está transmitiendo, bloqueé el tráfico saliente en mi firewall a esta IP: esto no afectó su capacidad de uso. Puede ser paranoia, ignorancia o ambas cosas, pero no creo que quiera que esto suceda.

He invertido un par de horas de investigación para ver si los proveedores dirían algo, lo que no me llevó a ninguna parte: tal vez no he buscado correctamente, pero esto me intriga desde un punto de vista de aprendizaje (y desde una perspectiva de seguridad también, pero en menor medida en este caso). Todavía no me he contactado directamente con el proveedor, principalmente porque quiero informarme primero, así que mis disculpas si esto está fuera de alcance aquí. Sin embargo, una pregunta si puedo:

¿Hay alguna forma de averiguar qué se está enviando?

¿Existe una forma más elegante de evitar que esto suceda, aparte de bloquear la conexión en mi Firewall?

tls http-proxy

pregunta Lex 28.01.2013 - 12:30

fuente

3 respuestas

3

Burp Suite está escrito en Java; El código de bytes de Java es fácil de usar ingeniería inversa, hasta el punto de que se pueden escribir decompilers . Mirar las entrañas de Burp Suite sería la forma más directa de determinar lo que está pasando.

El marco legal sobre ingeniería inversa varía según el país. En Europa, tiende a permitirse siempre que sea con fines de interoperabilidad, lo que en realidad no se aplica a su situación. Por lo tanto, la forma más segura de determinar lo que está sucediendo es preguntar al proveedor.

Otro método, que podría considerarse como no relacionado con la ingeniería inversa, sería interceptar la capa SSL / TLS. Esto supone que Burp Suite no incluye su propio código SSL / TLS, sino que utiliza el soporte proporcionado por Java. En la arquitectura de Java, esto utiliza proveedores ; el proveedor SSL / TLS predeterminado es SunJSSE . Tal vez sería suficiente agregar su propio proveedor y registrarse como predeterminado; o tal vez la modificación de SunJSSE en tu VM haría el truco. De cualquier manera, un proveedor que usted controla podría registrar los datos intercambiados en archivos. Posiblemente, Burp Suite no solo usa SunJSSE sino también el almacén predeterminado de "CA raíz" incluido en la JVM para validar el certificado del servidor; en ese caso, solo tendría que crear su propia CA, instálelo , haga un certificado falso para el servidor de destino y luego use Fiddler para obtener los datos. Esta sería la manera más rápida de determinar qué está sucediendo.

respondido por el Thomas Pornin 28.01.2013 - 13:34

fuente

1

el primer lugar al que voy siempre cuando sucede este tipo de cosas es la licencia . Parece que 2.2.6 nos impide la ingeniería inversa y hurgamos en javacode para ver qué hace este código ...

No hay nada más que pueda ver en esta licencia que permita la funcionalidad de llamada a casa y es una licencia de muy mala calidad por no mencionarlo.

respondido por el Callum Wilson 28.01.2013 - 12:46

fuente

Lea otras preguntas en las etiquetas tls http-proxy

No puedo deshacerme de Sality en mi Dropbox El usuario ingresó implicaciones de seguridad de Javascript

score 3 · Accepted Answer

Una cosa que podría observar es configurar un proxy ascendente en burp (ya sea otra instancia de eructo o una herramienta similar) y ver si el tráfico se envía a través de ese proxy. Puede funcionar un problema con la validez del certificado SSL, por otra parte podría funcionar. Suponiendo que funcione, le permitiría ver dentro del flujo SSL (aunque, por supuesto, podría haber más cifrado).

Para bloquear la comunicación, puede agregar una entrada a su archivo de hosts para el nombre DNS con el que se está contactando y redirigirlo a 127.0.0.1 como una opción. También puede bloquearlo en el servidor de seguridad de su host o, si lo está ejecutando a través de un proxy encadenado como mencioné anteriormente, es probable que también pueda bloquear el tráfico allí (dependiendo de la herramienta que use).

Otra cosa que recomendaría es preguntar en el PortSwigger Forums , por lo general son razonablemente receptivos, por lo que podría obtener una respuesta allí.