Comments 45
И можно легко подтолкнуть жертву к скачиванию файла, здорово
+1
Мда. Радость-то какая.
+1
А что вас смущает? Весьма интересное решение. Мы же тут не моральную сторону обсуждаем, а техническую, не?
+3
Вот как раз отношение к моральной стороне меня и смущает.
0
При чем тут мораль? Для некоторых это просто работа и инструмент 8)
+2
Для кого, простите? Назовите хоть одну легальную деятельность, предусматривающую MitM атаки.
-6
UFO just landed and posted this here
penetration tester к примеру.
+5
И без подталкивания жертвы к скачиванию поддельного файла работа penetration tester невозможна, да?
-4
Это реализация одного из векторов атаки. Скорее всего это будет PoC, дабы указать заказчику одну из брешей.
+1
А, т.е. этот прекрасный софт нужен, чтобы показать заказчику, как в один клик можно подменить скачиваемый файл?
Так для этого можно и не реализовывать функцию реальной подмены файла, что, заказчик проверять что ли будет?
Так для этого можно и не реализовывать функцию реальной подмены файла, что, заказчик проверять что ли будет?
-5
Некоторых интересуют только реальные случаи и способы взлома, моделирование поведения инсайдера, применимые к инфраструктуре заказчика.
+5
Извраты разные бывают. К примеру делаем ARP между N рабочек и 1 HTTP proxy в корп. локалке. Ставим подмену загрузки exe, ждем время T, подучаем N-X шеллов. Типа сразу много. При условиях, что нет потери пакетов при спуфе ARP и мы в себе уверенны. Я бы конечно так не рекомендовал так делать, но если хочется «угореть» и/или испытать сценарий, почему нет?
0
Рейтинг этого коммента, видимо, нужно трактовать так: хабрасообщество действительно считает, что использование описанной в посте программы вообще и функции подталкивания жертвы к скачиванию файла в частности будет производиться в легальных целях в значительных объёмах.
Ну ок.
Ну ок.
-1
UFO just landed and posted this here
Внезапно. Как это можно непалевно SSL-сертификаты подменять?
+2
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Я может чего-то не понимаю, но проверка сертификата в браузере реализована таким образом, что браузер последовательно проверяет подписи сертификатов, пока не дойдёт до подписи известной ему и зашитой прямо в код самого браузера компании.
Администратор может выдавать что угодно, сертификат всё равно будет недоверенным, либо защите этой — грош цена.
Администратор может выдавать что угодно, сертификат всё равно будет недоверенным, либо защите этой — грош цена.
-2
Если что, вот две довольно подробных статьи, где доходчиво рассказывается о MitM-атаках и невозможности подменить сертификат на самоподписанный без соответствующей реакции браузера
habrahabr.ru/post/111714/
habrahabr.ru/post/77689/
habrahabr.ru/post/111714/
habrahabr.ru/post/77689/
-2
UFO just landed and posted this here
Я не проявлял никакого уважения/неуважения ни к каким бывшим администраторам.
> Я еще раз хочу обратить Ваше внимание, что во многих предприятиях на компьютерах клиентов в качестве корневого (доверенного) сертификата устанавливается самоподписанный сертификат предприятия.
Ок, расскажите, как на современные браузеры можно установить левый доверенный корневой сертификат так, чтобы браузер не предупреждал об этом.
+ каким образом, даже при наличии такого сертификата, можно подписать им левый сертификат, не имея секретного ключа на руках.
> Я еще раз хочу обратить Ваше внимание, что во многих предприятиях на компьютерах клиентов в качестве корневого (доверенного) сертификата устанавливается самоподписанный сертификат предприятия.
Ок, расскажите, как на современные браузеры можно установить левый доверенный корневой сертификат так, чтобы браузер не предупреждал об этом.
+ каким образом, даже при наличии такого сертификата, можно подписать им левый сертификат, не имея секретного ключа на руках.
-1
UFO just landed and posted this here
Нет, не понимаю. Поясните специально для меня, тупого, ещё раз.
Имеем: нормальный (не корпоративная сборка) браузер.
Каким образом можно «беспалевно» (т.е. без всяких индикаций о недоверенном соединении) подсунуть ему левый сертификат?
Имеем: нормальный (не корпоративная сборка) браузер.
Каким образом можно «беспалевно» (т.е. без всяких индикаций о недоверенном соединении) подсунуть ему левый сертификат?
+1
UFO just landed and posted this here
FF имеет собственную базу сертификатов:
travisspencer.com/blog/2009/07/firefox-does-not-use-the-windo.html
я пользуюсь портабельной версией FF, а обычная версия, которой я не пользуюсь, установленая в Program Files, собирает всякие незванные Add-on-ы, Plug-in-ы и сертификаты (от Microsoft, Google и доменных админов), — пусть собирает, не жалко ))
travisspencer.com/blog/2009/07/firefox-does-not-use-the-windo.html
я пользуюсь портабельной версией FF, а обычная версия, которой я не пользуюсь, установленая в Program Files, собирает всякие незванные Add-on-ы, Plug-in-ы и сертификаты (от Microsoft, Google и доменных админов), — пусть собирает, не жалко ))
0
Предлагаю начать все же с того, что сертификаты хранятся не в браузере.
Чтобы небыло «индикации» о недоверенном соединении достаточно, чтобы у пользователя на компьютере был установлен корневой (и при необходимости промежуточные) сертификаты до того, которым подписан открываемый ресурс. (как вам уже отвечали выше)
Ко внешним центрам сертификации (Тафте и прочие) обращаются для получения сертификата которым можно будет подписать ресурс доступный извне, чтобы у сторонних пользователей (вне компании) так же небыло индикации «недоверенного соединения». У внешних пользователей нет в хранилище сертификаты вашего корпоративного CA, но зато у них есть предустановленные от «доверенных центров сертификации».
Повторюсь — Внутри компании, для ресурса который доступен только внутренним пользователям это не делается, поскольку можно обойтись сертификатом «своего» CA.
Чтобы небыло «индикации» о недоверенном соединении достаточно, чтобы у пользователя на компьютере был установлен корневой (и при необходимости промежуточные) сертификаты до того, которым подписан открываемый ресурс. (как вам уже отвечали выше)
Ко внешним центрам сертификации (Тафте и прочие) обращаются для получения сертификата которым можно будет подписать ресурс доступный извне, чтобы у сторонних пользователей (вне компании) так же небыло индикации «недоверенного соединения». У внешних пользователей нет в хранилище сертификаты вашего корпоративного CA, но зато у них есть предустановленные от «доверенных центров сертификации».
Повторюсь — Внутри компании, для ресурса который доступен только внутренним пользователям это не делается, поскольку можно обойтись сертификатом «своего» CA.
0
Предлагаю начать все же с того, что сертификаты хранятся не в браузереутверждение справедливо не для всех браузеров.
вот хороший мануал по установке сертификатов в клиентское ПО (в т.ч. в браузеры):
wiki.cacert.org/FAQ/BrowserClients?action=show&redirect=BrowserClients#Mozilla_Firefox
0
UFO just landed and posted this here
А про IPv6 заинтересовало, надо бы мне подробнее покопать про ipSEC. Он, разве, не должен обеспечивать защиту от mitm?
0
<irony>Как страшно жить!</irony>
Мир спасёт SSL + персональные сертификаты.
0
При наличии указанного текста в GET запросе происходит подмена.
То есть страницы типа file.exe.html он подменяет или нет? А если mod_rewrite и отдача через скрипт и на GET запрос типа /download/file.exe выдаёт html с вводом капчи? Нужно добавить проверку ответа от оригинального сервера, запрос туда всё равно доходит и смотреть content-type что отдаёт.
0
Ох, прошу прощения, видео только посмотрел, там указан content-type.
0
если в шаблоне указано .exe или file.exe, то при запросе file.exe.html правило будет выполнено, независимо от того, что по этой ссылке отдает оригинальный сервер. в качестве хитрости, во избежание подмены таких запросов, в шаблоне можно указать пробел на конце — «file.exe ». т.е. сработает только в случае чистого запроса GET /file.exe HTTP/1.1
контент-тайп указывается для файла, который выдается при подмене.
контент-тайп указывается для файла, который выдается при подмене.
+1
Sign up to leave a comment.
Подмена файлов в HTTP трафике