6 HTTP MITM támadási eszközök biztonsági kutatók számára

Szerző:
Tweet
Share
Share
Pin

Man-in-the-middle (MITM) támadásról akkor beszélünk, amikor egy rossz szereplő megszakít egy kialakult hálózati beszélgetést vagy adatátvitelt. A támadó az átviteli útvonal közepén ül, majd úgy tesz, mintha legitim résztvevője lenne a beszélgetésnek.

A gyakorlatban a támadók a bejövő kérések és a kimenő válaszok között helyezkednek el. Felhasználóként továbbra is azt hiszi, hogy közvetlenül a legális célszerverrel vagy webalkalmazással beszél, mint például a Facebook, Twitter, online bank és mások. A valóságban azonban kéréseket fog küldeni a középső embernek, aki ezután beszél a bankjával vagy az alkalmazással az Ön nevében.

Kép: Imperva

Mint ilyen, a középső ember mindent látni fog, beleértve az összes kérését és válaszát, amelyet a cél- vagy célszervertől kap. A beszélgetés megtekintésén kívül a középen lévő ember módosíthatja kéréseit és válaszait, ellophatja a hitelesítő adatait, átirányíthatja az általa irányított szerverre, vagy más kiberbűnözést hajthat végre.

Általában a támadó elfoghatja a kommunikációs adatfolyamot vagy a beszélgetésben részt vevő bármelyik féltől származó adatokat. A támadó ezután módosíthatja az információkat, vagy rosszindulatú hivatkozásokat vagy válaszokat küldhet mindkét jogos résztvevőnek. A legtöbb esetben ez egy ideig észrevétlen marad, egészen később, sok sérülés után.

Általános „man-in-the-middle” támadási technikák

Csomagszaglás: – A támadó különféle eszközöket használ a hálózati csomagok alacsony szintű ellenőrzésére. A szippantás lehetővé teszi a támadók számára, hogy olyan adatcsomagokat lássanak, amelyekhez nincs hozzáférésük.

Csomag injekció: – ahol a támadók rosszindulatú csomagokat juttatnak be az adatkommunikációs csatornákba. Az injekció beadása előtt a bűnözők először szippantás segítségével azonosítják, hogyan és mikor küldjék el a rosszindulatú csomagokat. Az injekció beadása után a rossz csomagok összeolvadnak az érvényes csomagokkal a kommunikációs folyamban.

Munkamenet-eltérítés: A legtöbb webalkalmazásban a bejelentkezési folyamat ideiglenes munkamenet-token-t hoz létre, hogy a felhasználónak ne kelljen folyamatosan beírnia a jelszót minden oldalhoz vagy bármely jövőbeli kéréshez. Sajnálatos módon előfordulhat, hogy egy támadó különféle szippantó eszközöket használva azonosítja és felhasználhatja a munkamenet-token-t, amellyel immár jogos felhasználót színlelve kéréseket intézhet.

SSL kivonás: A támadók az SSL kioldó technikát használhatják a jogos csomagok elfogására, módosíthatják a HTTPS-alapú kéréseket, és a nem biztonságos HTTP-ekvivalens célállomásra irányíthatják azokat. Következésképpen a gazdagép titkosítatlan kérést küld a szervernek, így az érzékeny adatokat egyszerű szövegként teszi közzé, amelyet könnyen el lehet lopni.

  21 gyakran ismételt OOP-interjúkérdés és válasz, amelyet ma tudni érdemes

A MITM támadások következményei

A MITM támadások veszélyesek minden szervezetre, és mivel anyagi és jó hírnév-vesztést okozhatnak.

Általában a bűnözők megszerezhetik a szervezet érzékeny és személyes adatait, és visszaélhetnek velük. Például ellophatják a hitelesítési adatokat, például a felhasználóneveket és jelszavakat, a hitelkártyaadatokat, és felhasználhatják azokat pénzátutaláshoz vagy jogosulatlan vásárlásokhoz. Az ellopott hitelesítő adatokat is felhasználhatják rosszindulatú programok telepítésére vagy más érzékeny információk ellopására – amivel zsarolhatják a céget.

Emiatt kritikus fontosságú a felhasználók és a digitális rendszerek védelme az MITM támadások kockázatának minimalizálása érdekében.

MITM támadási eszközök biztonsági csapatok számára

A megbízható biztonsági megoldások és gyakorlatok mellett a szükséges eszközöket is használnia kell a rendszer ellenőrzéséhez és a támadók által kihasználható sebezhetőségek azonosításához. A helyes választás megkönnyítése érdekében íme néhány HTTP MITM támadási eszköz biztonsági kutatók számára.

Hetty

Hetty egy gyors, nyílt forráskódú HTTP-eszközkészlet hatékony funkciókkal a biztonsági kutatók, csapatok és a hibajavító közösség támogatására. A beágyazott Next.js webes felülettel rendelkező könnyű eszköz egy HTTP embert tartalmaz a középső proxyban.

Főbb jellemzők

  • Lehetővé teszi teljes szöveges keresés végrehajtását
  • Feladó modullal rendelkezik, amely lehetővé teszi HTTP-kérések manuális küldését a proxynaplóból származó kikapcsolási kérések alapján, vagy a semmiből történő létrehozásával.
  • Támadó modul, amely lehetővé teszi a HTTP-kérések automatikus küldését
  • Egyszerű telepítés és könnyen használható felület
  • Manuálisan küldje el a HTTP-kéréseket az elejétől kezdve, a kérés elkészítésével vagy egyszerűen a proxynaplóból történő másolással.

Bettercap

Bettercap egy átfogó és méretezhető hálózati felderítő és támadási eszköz.

Az egyszerűen használható megoldás a visszafejtő mérnökök, a biztonsági szakértők és a vörös csapatok számára minden funkciót biztosít a Wi-Fi, IP4, IP6 hálózatok, Bluetooth Low Energy (BLE) eszközök és vezeték nélküli HID eszközök teszteléséhez vagy támadásához. Ezenkívül az eszköz hálózati megfigyelési képességekkel és egyéb funkciókkal rendelkezik, például hamis hozzáférési pont létrehozása, jelszószippelő, DNS-spoofer, kézfogás rögzítése stb.

Főbb jellemzők

  • Erőteljes beépített hálózati szippantó a hitelesítési adatok azonosításához és a hitelesítő adatok begyűjtéséhez
  • erős, bővíthető
  • Aktívan és passzívan vizsgálja meg és tesztelje az IP-hálózati gazdagépeket a lehetséges MITM biztonsági rések után.
  • Könnyen használható és interaktív web alapú felhasználói felület, amely lehetővé teszi a MITM támadások széles skálájának végrehajtását, a hitelesítő adatok szippantását, a HTTP és HTTP forgalom szabályozását stb.
  • Kivonja az összes összegyűjtött adatot, például a POP-, IMAP-, SMTP- és FTP-hitelesítési adatokat, a meglátogatott URL-eket és HTTPS-gazdagépeket, HTTP-cookie-kat, HTTP-ben közzétett adatokat és egyebeket. Ezután egy külső fájlban jeleníti meg.
  • Manipulálja vagy módosítsa a TCP, HTTP és HTTPS forgalmat valós időben.
  A Chime fiók feloldása

Proxy.py

Proxy.py egy könnyű, nyílt forráskódú WebSockets, HTTP, HTTPS és HTTP2 proxyszerver. Az egyetlen python-fájlban elérhető gyors eszköz lehetővé teszi a kutatók számára, hogy minimális erőforrások felhasználása mellett ellenőrizzék a webes forgalmat, beleértve a TLS-titkosított alkalmazásokat is.

Főbb jellemzők

  • Ez egy gyors és méretezhető eszköz, amely másodpercenként több tízezer kapcsolatot képes kezelni.
  • Programozható szolgáltatások, például beépített webszerver, proxy és HTTP-útválasztás testreszabása stb
  • Könnyű kialakítású, amely 5-20 MB RAM-ot használ. Ezenkívül a szabványos Python könyvtárakra támaszkodik, és nem igényel semmilyen külső függőséget.
  • Valós idejű, testreszabható irányítópult, amelyet bővítmények segítségével bővíthet. Lehetőséget biztosít a proxy.py futás közbeni ellenőrzésére, figyelésére, konfigurálására és vezérlésére is.
  • A biztonságos eszköz a TLS segítségével biztosítja a végpontok közötti titkosítást a proxy.py és az ügyfél között.

Mitmproxy

Az mitmproxy egy könnyen használható, nyílt forráskódú HTTPS proxy megoldás.

Általában az egyszerűen telepíthető eszköz SSL-középső HTTP-proxyként működik, és rendelkezik egy konzolfelülettel, amely lehetővé teszi a forgalom menet közbeni ellenőrzését és módosítását. A parancssori alapú eszközt HTTP- vagy HTTPS-proxyként használhatja az összes hálózati forgalom rögzítésére, a felhasználók által kért adatok megtekintésére és azok újrajátszására. Általában a mitmproxy három hatékony eszköz készletére utal; a mitmproxy (konzol felület), a mitmweb (web alapú felület) és a mitmdump (parancssori verzió).

Főbb jellemzők

  • Interaktív és megbízható HTTP forgalomelemző és módosító eszköz
  • Rugalmas, stabil, megbízható, könnyen telepíthető és használható szerszám
  • Lehetővé teszi a HTTP és HTTPS kérések és válaszok menet közbeni elfogását és módosítását
  • Rögzítse és mentse el a HTTP-kliens- és szerveroldali beszélgetéseket, majd a jövőben játssza le és elemezze őket
  • Hozzon létre SSL/TLS-tanúsítványokat, hogy menet közben elfoghassa
  • A fordított proxy funkciók lehetővé teszik a hálózati forgalom másik szerverre történő továbbítását.

Böfög

Böfög egy automatizált és méretezhető sebezhetőség-ellenőrző eszköz. Az eszköz jó választás számos biztonsági szakember számára. Általában lehetővé teszi a kutatók számára, hogy teszteljék a webalkalmazásokat, és azonosítsák azokat a sebezhetőségeket, amelyeket a bűnözők kihasználhatnak, és MITM-támadásokat indíthatnak.

Felhasználó által vezérelt munkafolyamatot használ, hogy közvetlen képet adjon a célalkalmazásról és annak működéséről. A webproxyszerverként működő Burp a köztes ember a webböngésző és a célszerverek között. Következésképpen ez lehetővé teszi a kérés- és válaszforgalom lehallgatását, elemzését és módosítását.

  Hogyan működnek a hologramok a színpadon?

Főbb jellemzők

  • Fogja el és ellenőrizze a nyers hálózati forgalmat mindkét irányban a webböngésző és a szerver között
  • Megszakítja a TLS-kapcsolatot a böngésző és a célszerver közötti HTTPS-forgalomban, így lehetővé teszi a támadó számára a titkosított adatok megtekintését és módosítását
  • Választható a Burps beágyazott böngésző vagy a külső szabványos webböngésző
  • Automatizált, gyors és méretezhető sebezhetőség-ellenőrző megoldás, lehetővé teszi a webalkalmazások gyorsabb és hatékonyabb vizsgálatát és tesztelését, ezáltal a sebezhetőségek széles skálájának azonosítását
  • Egyedi elfogott HTTP kérések és válaszok megjelenítése
  • Manuálisan tekintse át az elfogott forgalmat, hogy megértse a támadás részleteit.

Ettercap

Ettercap egy nyílt forráskódú hálózati forgalomelemző és elfogó.

Az átfogó MITM támadási eszköz lehetővé teszi a kutatóknak, hogy a hálózati protokollok és gazdagépek széles skáláját boncolgassák és elemezzék. A hálózati csomagokat LAN-on és más környezetekben is regisztrálhatja. Ezenkívül a többcélú hálózati forgalomelemző képes észlelni és megállítani a köztes támadásokat.

Főbb jellemzők

  • Elfoghatja a hálózati forgalmat, és rögzítheti a hitelesítő adatokat, például a jelszavakat. Ezenkívül képes a titkosított adatok visszafejtésére és a hitelesítő adatok, például a felhasználónevek és jelszavak kinyerésére.
  • Alkalmas mély csomagszaglásra, tesztelésre, hálózati forgalom figyelésére és valós idejű tartalomszűrésre.
  • Támogatja az aktív és passzív lehallgatást, a hálózati protokollok boncolását és elemzését, beleértve a titkosított protokollokat is
  • Elemezze a hálózati topológiát, és állítsa be a telepített operációs rendszereket.
  • Felhasználóbarát grafikus felhasználói felület interaktív és nem interaktív grafikus felhasználói felülettel
  • olyan elemzési technikákat használ, mint az ARP-elfogás, az IP- és MAC-szűrés, és mások a forgalom lehallgatására és elemzésére

MITM támadások megelőzése

A MITM támadások azonosítása nem túl egyszerű, mivel a felhasználóktól távol történik, és nehéz észlelni, mivel a támadók mindent normálisnak látszanak. A szervezetek azonban számos biztonsági gyakorlatot alkalmazhatnak a köztes támadások megelőzésére. Ezek tartalmazzák;

  • Biztosítsa az internetkapcsolatokat munkahelyi vagy otthoni hálózaton, például hatékony biztonsági megoldások és eszközök használatával a szervereken és számítógépeken, megbízható hitelesítési megoldásokkal
  • Erős WEP/WAP titkosítás érvényesítése a hozzáférési pontoknál
  • Győződjön meg arról, hogy az összes meglátogatott webhely biztonságos, és az URL-ben szerepel a HTTPS.
  • Kerülje a gyanús e-mail üzenetekre és linkekre való kattintást
  • Kényszerítse a HTTPS-t, és tiltsa le a nem biztonságos TLS/SSL protokollokat.
  • Lehetőség szerint használjon virtuális magánhálózatokat.
  • A fenti eszközök és más HTTP-megoldások segítségével azonosíthatja és kezelheti a támadók által kihasználható összes „man-in-the-middle” biztonsági rést.
Tweet
Share
Share
Pin