Preguntas con etiqueta 'hsts'

2
respuestas

¿Detectar TLS / SSL a través de HSTS?

Imagina lo siguiente: El cliente C quiere comunicarse con el servidor S. El malvado atacante A es el hombre en el medio. C envía una solicitud a S, A la intercepta. A crea un certificado autofirmado con el nombre de dominio de S y envía el...
hecha 10.06.2015 - 13:32
2
respuestas

Si instalo el certificado Burp en mi sistema e intento acceder al sitio certificado por HSTS, el sitio funcionará, ¿es seguro?

¿Puedo interceptar una solicitud a través del certificado de CA de Burp Suite para los sitios HSTS? ¿Es seguro o no?     
hecha 13.01.2017 - 11:28
1
respuesta

Ejecución de un MITM para interceptar SSL / TLS con un certificado válido

Suponiendo que un atacante puede realizar un ataque Man In The Middle e interceptar solicitudes de un cliente que desea conectarse a un servidor HTTPS (digamos www.google.com). El atacante tiene un certificado válido (dominio: www.randomname....
hecha 25.07.2016 - 20:13
1
respuesta

¿Se está envenenando mi DNS?

Hoy recibí este error en Firefox: Ocurrió de forma constante durante un minuto o dos y volvió a la normalidad. Confirmé que sucede en otro navegador y que otros sitios HTTPS se abren correctamente. No pude comprobar qué sucede en otros di...
hecha 04.04.2017 - 10:33
1
respuesta

¿Por qué sslstrip + no puede interceptar el tráfico de sitios web como Facebook y Gmail?

He estado leyendo un artículo sobre sslstrip y mitm. Antes de la introducción de HSTS, era posible eliminar ssl y enviar una página http insegura a la víctima. De todos modos, se superó mediante el uso de HSTS, que recopila la url de los sitios...
hecha 18.10.2015 - 15:05
1
respuesta

¿Por qué sslstrip + no puede interceptar el tráfico de sitios web como Facebook y Gmail?

He estado leyendo un artículo sobre sslstrip y mitm. Antes de la introducción de HSTS, era posible eliminar ssl y enviar una página http insegura a la víctima. De todos modos, se superó mediante el uso de HSTS, que recopila la url de los sitios...
hecha 18.10.2015 - 15:05
1
respuesta

¿Cómo funciona la omisión de HSTS con SSLSTRIP + exactamente?

Estoy haciendo una investigación para evitar HSTS. Leí esta guía para evitar HSTS usando SSLSTRIP +, pero hay una Algunas cosas que no entiendo.    Lo primero que debes hacer es iniciar MITMf en modo SSLstrip +, también usaré la falsificaci...
hecha 08.06.2015 - 17:30
0
respuestas

ERR_SSL_PROTOCOL_ERROR en un sitio que no usa SSL / TLS, en un puerto impar

He configurado un servidor que ejecuta Jenkins. La interfaz web no tiene activada la compatibilidad con SSL / TLS de forma predeterminada, y no he intentado activarla, y no quiero activarla (al menos por ahora). Cuando configuré este servidor...
hecha 03.02.2017 - 17:51
0
respuestas

Certificado autofirmado instalado en Android, aún no puede acceder a sitios web con HSTS

He creado un certificado autofirmado con openssl. Se está sirviendo desde mi proxy (calamar). Instalé el mismo certificado en un teléfono Android como certificado de confianza. Me conecto a una VPN (y desde esa VPN se accede al proxy squid)....
hecha 28.04.2017 - 15:20
2
respuestas

Autentificando el certificado de Hotmail y la seguridad de la conexión

Hace poco recibí el siguiente mensaje de error de hotmail.com (o live.com) después de haber iniciado sesión con el navegador Chrome, y consistentemente con diferentes cuentas y computadoras (independientemente del modo 2FA o de incógnito): You...
hecha 14.06.2015 - 13:52