testiranje sigurnosti ssl certifikata - mitm napad?

[djelincic]

Pozdrav ljudi, molio bih Vas za savjet tj. prijedlog,


vezano uz projekt na kojemu radim s kolegom, napravio sam web shop i instalirao domain rapidssl certifikat. Kako sam ssl certifikat ne štiti stranicu od raznih napada, već samo omogućava zaštitu komunikacije od klijenta do servera, ispada da samo ovom vrstom napada ( man in the middle ) mogu testirat funkcionalnost certifikata?


Znači trebao bi demonstrirat i simulirat napad na svoj web shop tj. na https protokol i ukazat kako certifikat štiti, tj. da nije moguće „man in the middle“ napadom doći do upisanih podataka (username i password). To mi je palo na pamet na temelju nekih „starih“ video-primjera iz 2013. gdje se sslstrip-om uspjelo proći kroz https, pa pretpostavljam da su ti bugovi ispravljeni.


Znači u simulaciji bi se pokušao ulogirat na dvije stranice, prvo na svoj shop koji koristi https protokol i zatim na neku random http stranicu, i tada bi na terminalu trebalo izbacit samo podatke pokušaja logiranja na stranicu sa http protokolom.


Ako ovo nije jednostavno za napravit ili nije moguce, volio bi cuti Vaš savjet vezano uz simulaciju sigurnosti/nesigurnosti http i https protokola, link na neki turorijal kako izvest, s kojim alatom (VMware virtual machines, Ettercap) a da je izvedivo sa xp ili win7. nešto slično 0x4553-intercepter mozda

postoji li neki drugi način testiranja funkcionalnosti ssl certifikata simulacijom(video tutorijalom)?


Lp

 

[djelincic]

Evo da još jednom što bolje pojasnim, ako nisam bio dovoljno jasan.

Znači trebam posnifat promet (logiranje na stranicu) sa svoje stranice koja ima ssl certifikat, i da se pritom vidi da su username i pasword enkriptirani (time se pokazuje funkcionalnost certifikata), a da snifanjem neke random stranice koja koristi http protokol, vidim username i pass u običnom tekstu.

Molio bi vas za neki tutorial na youtubu, da vidim kako to napravit, a da se ovaj (man in the middle napad) može izvest na win.

lp

 

[debelizmaj]

Snifanjem neces da dokazes funkcionalnost sertifikata vec funkcionalnost ssl. Sertifikat je prost file, sa kljucevima, ako si i njih dobio i od proverenog izdavaca.
Ako bas zelis da snifujes saobracaj, iskoristi wireshark. Ja njega koristim.

 

[e6111]

Znači trebao bi demonstrirat i simulirat napad na svoj web shop tj. na https protokol i ukazat kako certifikat štiti, tj. da nije moguće „man in the middle“ napadom doći do upisanih podataka (username i password). To mi je palo na pamet na temelju nekih „starih“ video-primjera iz 2013. gdje se sslstrip-om uspjelo proći kroz https, pa pretpostavljam da su ti bugovi ispravljeni.

Zavisi, i pored HSTS je u nekim slucajevima i dalje moguc sslstrip.

Znači trebam posnifat promet (logiranje na stranicu) sa svoje stranice koja ima ssl certifikat, i da se pritom vidi da su username i pasword enkriptirani (time se pokazuje funkcionalnost certifikata), a da snifanjem neke random stranice koja koristi http protokol, vidim username i pass u običnom tekstu.

Wireshark, tcpdump na lokalnoj masini, ili mozes da instaliras linux virtualnu masinu kao router/gateway i da onda tu prikupljas saobracaj sa tcpdump. Naravno klijente usmeris da taj VM bude gateway, a pored toga mozes da isprobas i sslstrip i ostale *******cije.

 

[djelincic]

Želim vam zahvaliti odgovorima vezanim uz temu,

Imam još samo jedno pitanje. Znači kada uhvatim nekoliko paketa sa stranice sa certifikatom i vidim ssl/tls protokol i desnim klikom kliknem na paket i folow tcp stream ( da li se može za kod koji izbaci reći da je to Praćenje TCP toka nekriptiranog prometa putem TCP transportnog sloja)?


pitam iz razloga jer nigdje ne pise kojim je kriptografskim algoritmom kriptiran taj promet/paket. Ovaj link je primjer otprlike na sto mislim https://wirewatcher.files.wordpress....wtcpstream.png
A pitam iz razloga jer sam vidio i na nekim http paketima da putem “follow tcp stream” izbaci takav kao kriptirani kod.

Lijep pozdrav