Обход https

Рады представить вашему вниманию магазин, который уже удивил своим качеством!

И продолжаем радовать всех!

Мы - это надежное качество клада, это товар высшей пробы, это дружелюбный оператор!

Такого как у нас не найдете нигде!

Наш оператор всегда на связи, заходите к нам и убедитесь в этом сами!

Наши контакты:

https://t.me/StufferMan

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!

Обход https

Хабр Geektimes Тостер Мой круг Фрилансим. Публикации Пользователи Хабы Компании Песочница. Войны в песочнице — Часть 2. Однако банальный анализ логов tcpdump не даёт значимого результата, так как большинство сервисов использует шифрование с помощью SSL для передачи важных данных, в том числе паролей. Так что я лишь выделю основные свойства SSL, а детали их реализации желающие могут изучить самостоятельно: Аутентификация — сервер всегда аутентифицируется, в то время как клиент аутентифицируется в зависимости от алгоритма. Целостность — обмен сообщениями включает в себя проверку целостности. Частность канала — шифрование используется после установления соединения и используется для всех последующих сообщений. Вариантов для перехвата данных, передаваемых через SSL немного: Пассивное наблюдение Не годится, так как передаваемые данные зашифрованы временным ключом. Ключ этот известен и клиенту и серверу, но его невозможно вычислить, лишь наблюдая со стороны за трафиком. Примером того, как можно реализовать защиту от пассивного наблюдения является алгоритм Диффи-Хеллмана. От этого алгоритм Диффи-Хелмана не защищён. Но SSL, в отличии от ДХ, требует аутентификацию сервера, и поэтому такой подход также обречён на неудачу. Клиент при установлении соединения ждёт от сервера аутентификации она при использовании SSL обязательна. Но вместо сервера он будет соединён с атакующим, который не владеет цифровым сертификатом, соответствующим имени сайта. Есть два способа решения проблемы отсутствия сертификата: Создать необходимый сертификат самостоятельно, и самому подписать его. Однако система цифровых сертификатов требует возможности проверить состоятельность сертификата. Сертификаты корневых CA — их немного — внесены в браузер разработчиками. И браузер считает сертификат подлинным только если он находится в конце цепочки сертификатов, начинающейся с одного из CA, где каждый следующий сертификат подписан предыдущим в цепочке. Получить у удостоверяющего центра сертификат для какого-то сайта, и использовать его для атаки. Не годится, так как в каждом сертификате сайта указан домен, для которого он выдан. В случае несовпадения домена в адресной строке с доменом, указанным в сертификате — браузер начнёт бить тревогу. В обоих случаях браузер покажет жертве какую-нибудь пугающую картинку, например такую: Пользовательские интерфейсы Разработчики браузеров используют методику кнута и пряника, чтобы заставить пользователей заботиться о своей безопасности. Сайты, правильно использующие SSL, с разным классом сертификатов: Сайты, не использующие SSL: Сайты с правильным сертификатом, но имеющие нарушения разной степени тяжести в использовании SSL: К сожалению, последнее встречается даже на крупных сайтах, лишний раз снижая внимание пользователей к этому значку в адресной строке. По картинкам видим, что кнут используется чаще и сам по себе заметнее, чем пряник. Выводы Если пользователь получит от браузера сообщение о невалидном сертификате, то он с достаточно большой вероятностью задумается нужно ли ему на этот возможно фишинговый сайт. Если пользователь не получит от браузера подтверждение безопасности, то по сравнению с страшными предупреждениями об ошибках в SSL, которые он часто встречает на своём пути, отсутствие какого-то зеленого замочка он заметит с куда меньшей вероятностью Как пользователь использует SSL? Никто не печатает в адресной строке https: Пользователи сами не делают ничего для своей безопасности, а полагаются на то, что за них это сделает сайт. Сайт перенаправляет пользователей на SSL четырьмя способами: Гиперссылки 3xx Redirect Location: Может быть достаточно атаковать http? Следить за всем http трафиком Пресекать любую попытку сервера перенаправить пользователя на https, заменять ссылки, заголовок Location в редиректах и т. Когда клиент делает http запрос, проксировать этот запрос к серверу через http или https, в зависимости от того, через что он должен был идти изначально Сервер не видит ничего подозрительного, для него соединение идёт через https впрочем, если бы сервер требовал клиентской аутентификации, то ничего бы не вышло. Клиент видит, что соединение идёт через http, но ошибок SSL нет, и, как мы выше выяснили, если браузер не жалуется, то пользователь, скорее всего, не заметит отсутствия шифрования. К делу Берём Python, Twisted и стандартный пример http-прокси: Заворачиваем на прокси весь трафик жертвы, шедший по 80 порту. Теперь надо добавить в прокси полезной функциональности. Для того чтобы сервер не волновался по поводу того, что клиент подключается к нему по открытому каналу — все соединения с encrypted. Вот так теперь выглядит страница входа в почту жертвы: Видно, что шифрование уже не работает, но браузер не выдает ни ошибок ни предупреждений. Дело в том, что на некоторые Cookies сервер может установить бит Secure, который рекомендует браузеру отправлять их только по защищённому каналу. Please turn it on. Хотя возможность устанавливать куки через Javascript всё равно всё усложнит. Финальный код прокси-сервера выглядит примерно так: Вообще говоря, в теории кажется, что всё возможно, но на практике возникают сложности. А ведь адреса для редиректа, и cookies c битом Secure могут генерироваться динамически в Javascript. Третья задача — при получении запроса от клиента нужно вычислить по какому протоколу был бы этот запрос, если бы мы не вмешивались, и отправить его на сервер именно по этому протоколу, чтобы он не мог заметить никаких отклонений. Собственно набросанный на скорую руку код, который вы видели выше, — решает каждую из этих задач очень грубым способом, только для одного сайта, и то — не вполне корректно. Через этот прокси на страничку авторизации гуглопочты заходит, но после авторизации, а особенно при попытке зайти в интерфейс почты, начинаются какие-то судорожные редиректы и может вообще не удаться ничего сделать. Впрочем, оправданием может служить то, что код выложен чисто в иллюстративных целях. Помимо того, после успешного ввода логина и пароля можно перенаправить клиента на прямое соединение с сервером и отключить прокси. SSL соединение используется только непосредственно в момент передачи учетных данных. То есть модифицировать достаточно только action для формы входа, и при этом у пользователя вообще нет шансов заметить подвох, так как форма входа находится на главной странице сайта, на которую нельзя зайти через https. Модификацию можно заметить только посмотрев исходный код страницы. На этом с технической частью всё. Не делайте так что бы форма загружалась через http, а сабмитилась через https. Не используйте самоподписанные сертификаты. Не смешивайте на странице защищённый и незащищённый контент. Завершение истории А история, начатая в первой части , завершилась прозаично — пароль от почтового ящика N был добыт и изменён, также как и контрольный вопрос. Со вторым ящиком на Mail. Я планировал вернуть все пароли через сутки, но на следующее утро обнаружил отсутствие аккумулятора в ноутбуке. Времени разбираться не было, меня ждал поезд, так что отдал пароли в обмен на свой аккумулятор. Как уйти на пенсию до 40 лет с миллионом долларов на счету в банке 6,2k Заказы Доработать приложение, использующее VpnService 2 отклика 26 просмотров. Python developer 12 откликов просмотров. Не доводи до предела, До предела не доводи! Это я про аккумулятор. Бездумно жмякающим кнопки пользователям статья не поможет, а те кто дочитают до конца и так особо не страдают от излишней доверчивости. Красненькое такое с крупными буквами? Да, к сожалению заставить пользователя прочитать и обдумать все сообщения — невозможно. НЛО прилетело и опубликовало эту надпись здесь. Нет, просто пользователь будет иммунен к этой атаке. Если пользователь встал на путь просветления https, то дьявол MITM его с этого пути уже не собьёт. А ещё контролируя траффик можно подсунуть невнимательному пользователю свой корневой сертификат. И уже им подписывать сертификаты для прокси. Кстати о том, что при установке webmoney вы так-же ставите корневой сертификат, котороым они могут подписать сертификат для любого домена. Я не ставил его, хоть они и хотели. И сейчас они уже вроде образумились, я пользуюсь light. Для этого его и устанавливают, не? Для любого, не только для своих. То есть они могут к примеру выдать сертификат на paypal. А зачем они его предлагают установить — я не знаю. Наверно вебмастера WM тогда ещё не знали основ работы цифровой сертификации. Или же они надеялись такими действиями получить место среди корневых CA — не вышло. Я понимаю, что могут для любого. Но к WebMoney лично у меня доверия больше, чем к VeriSign, последним я свои деньги не доверяю. А вообще помню даже интересовался можно ли получить у них ssl сертификат на свои домены или получить SSL Certificate Authority для своего персонального сертификата, но ответили как-то невнятно, а интерес был чисто спортивный, так что забил. Первый вопрос не заметил сразу. Не важно, корневой он или промежуточный, который даже устанавливать не надо — им можно подписать любой сайт. Промежуточным сертификатом можно префиксировать конечный, с любым указанным Common Name. А почем, находясь по середине, и имея возможность пропускать траффик сквозь себя нельзя вместе с подделкой целевого сайта, подделать заодно и центры сертификации? Люди вы о чем, какую передачу? Не будет никакой алгоритм, использующий сертификаты, доверять полученному по http сертификату. Да, мы получаем всё, что конечный пользователь, и всё, что получает сервер. Но, мы не получаем общий ключ. Он не передаётся в явном виде при установлении соединения, он вычисляется и клиентом и сервером. Но при наблюдении со стороны его вычислить невозможно, а без него невозможно расшифровать передаваемые данные. Список доверенных центров сертификации зашит, утрируя, в браузере, их закрытого ключа вы не знаете, а значит не сможете себя за них выдать. Можно принудить пользователя добавить с систему ещё один сертификат или центр хороший пример WebMoney. Браузер может проверять сертификат по списку отозванных. Это, впрочем, явно не упрощает задачу: Сертификаты центров сертификации установлены в вашей системе или браузере , заранее. Но чтобы был толк надо чтобы пользователь скачал сертификат подсунуть ему можно любой , и установил его в браузере или на компьютере. То есть нужно активное действие пользователя для этого. Но устанавливать сертификат может понадобиться 0. И они достаточно осторожны чтобы проверить его отпечаток по другому каналу. Более правдоподобно подменить какой-нибудь скачивамый по http инсталлятор на свой, с подарком. А запущенный бинарник уже что хочешь сделает. А как часто они будут скачивать корневые сертификаты? Оставить скрипт, который ждет когда пользователь запросит какой-нибудь. Тут правда надо, чтоб инсталлятор был не слишком большой, так как потоково передавать уже не выйдет, нужно сначала целиком скачать. Блин мне эта идея нравится, может быть станет темой для третьей части. Если конечно сосед снова даст мне повод и если будет время. Сайтов человек будет посещать больше, чем что-то качать, наверняка есть такие которые или пользуются самоподписными сертификатами разные статистики доступа в интернет или часто выдающие алерты на тему ssl. Вот при заходе на них и требовать установку. Они по http вроде работают, обновления списков корневых УЦ помню бывали часто, может туда внедриться и свой подсонуть? А некоторые браузеры пользуются, кажется, не системным хранилищем, а своим списком УЦ. Можно ещё так попробовать, фейковое обновление такого браузера сделать. Если есть возможность сделать поддельное обновление, тогда нет необходимости мудрить с сертификатами. Сильно надеюсь, что все программы, которые автоматически без участия пользователя по http что-то качают и запускают в том числе и обновляторы проверяют ЭЦП для всего запускаемого. Иначе станет страшно жить. Ну, там вроде везде всё подписано и хрен там что заменишь — https там не нужен. Да, классический вариант сети доверия. Есть несколько \\\\\\\\\\\\\\\\\[не связанных друг с другом\\\\\\\\\\\\\\\\\] Центров Сертификации. Есть сертификаты сайтов, подписанные этими ЦС. И поскольку мы доверяем этим ЦС, то доверяем и этим сайтам, при прохождении проверки подлинности сертификата, есстествено. Простые истины, на доступном для всех языке. Думаю в вашем случае было бы так же идеальным решением использовать sslstrip, заточенный под это. Забавно, как раз публикация автора sslstrip и вдохновила меня на эти действия, но на то, что там была упомянута сама утилита. Сейчас посмотрел — действительно там уже реализовано то, что я тут делал. И кстати тоже на питоне и с использованием twisted-web. Более того, погуглив по слову sslstrip, нашёл статью , зная о существовании которой раньше, не стал бы сам писать. По крайней мере вторую часть, хотя первая мне казалась ещё более тривиальной темой. Замечетельная статья, наталкивающая на много мыслей. Жаль только, что вы сразу отмели вариант MITM, потому что автор статьи, на которую вы ссылаетесь, как раз описывает реальную возможность это сделать, используя свой конечный сертификат для подписания сертификата на атакуемый сайт, используя свой конечный в качестве промежуточного. Автор утверждает, что многие браузеры не проверяют, что является ужасной дырой. Ну, и ещё в оригинальной статье понравился забавный трюк с установлением в качестве favicon. Ну MITM, связанный с тем, что браузеры не проверяют не проверяли? BasicConstraints я не рассматривал по следующим причинам: А цепочки сертификатов — это не только средство проверки подлинности сайта, но и средство в случае чего найти виноватого. То есть, используя свой сертификат для подписи чего попало, мы, во-первых, рискуем, что по этой цепочке что-то восстановят, во-вторых если сертификат отзовут — то придётся предпринимать дополнительные действия. А мы выяснили, что negative feedback намного хуже, чем отсутствие positive feedback. Поэтому метод strip более надёжен, так как он никогда не вызовет negative feedback. А насчёт фавиконки — я всё же не перевод делал, хоть и много взял оттуда. Не знаю как в Firefox, но в Chrome favicon отображается в заголовке вкладки, в значок SSL в адресной строке. То есть замочек был бы не там, где должен быть и являлся бы дополнительным отличием от привычного вида при использовании настоящего SSL. Интересно было бы почитать, как это? Погуглил, там нужно всем пользователям раздать сертификат самого TMG. Соответсвенно, если раньше впаривали троянов под видом кодеков и высокохудожественных изображений, теперь нужно впаривать свой корневой сертификат. Спешу обрадовать, что это хорошо, но не защищает от описанной схемы, так как в ней взаимодействие с сервером идёт именно по SSL. Для защиты нужно контролировать или форсировать SSL на стороне клиента. Например изменив закладку в браузере с gmail. И именно на это рассчитана описанная в статье атака. Пользователь рассчитывает, что сервер его перенаправит на https. Сам акт перенаправления происходит по http, который никак не защищён. Поэтому man-in-the-middle может эту переадресацию вырезать из потока данных, идущих от сервера к вам, и вы так и останетесь на http. Защититься от этого можно было бы не надеясь на перенаправление которого может и не быть, так как MITM а заходя напрямую по https. Если вы зашли по прямой ссылке https: Сервер тут видит, что к нему кто-то подключается через https он не может знать, что где-то там есть клиент и атакующий, и они соединены по http , поэтому он никаких перенаправлений делать не будет, и спокойно покажет всю секретную инфу. Этот почти пруфпик показывает, как клиент прекрасно открыл по http форму авторизации Google не интерфейс GMail, но ситуация аналогичная. Сервер в этот момент считает, что соединение происходит через https. Без MITM клиент не смог бы открыть такой адрес по http, так как сервер, действительно, перенаправил бы его на https. Принудительный SSL со стороны сервера способен бороться только против пассивного прослушивания что тоже хорошо, но недостаточно. Чтобы защититься от MITM за качеством и наличием шифрования обязан следить клиент. Если я непонятно объясняю, то почитайте первоисточник. Перехватывать https путём выкусывания из http всех ссылок на https — это всё равно, что описывать в очередной раз арп спуффинг и взлом wi-fi с wep. Да, действительно боянисто получилось. Статью писал как историю из жизни, которой хотелось поделиться с обществом. Подробнее остановился на тех местах, которые для меня показались интересными и нетривиальными, в частности идея sslstrip, не думал, что все её уже знают. Как видно по дискуссии выше , действительно не все. Если цель — получить пароль от гмейла и сделать это незаметно для пользователя, то можно вообще на змаорачиваться с заменой https на http, а просто выдавать фейковую http страницу с формой ввода, а после ввода пароля — логинить пользователя на настоящем сервере и уже никак не препятствовать трафику между жертвой и сервером. В этом случае заподозрит неладное только тот, кто заметит http вместо https на странице входа в гмейл. А когда залогинится, то всё будет как обычно. Только хотел написать про sslstrip и его автора Moxie Marlinspike — тут уже упомянули. Один моментик — когда занимаетесь такими вещами, надо быть очень аккуратным и уж точно не стоит устраивать цирк с паролями одногруппниц. Тот же Moxie вроде никого и не ломал по крайней мере публично особо не хвастался , у него недавно на границе отобрали ноутбук и телефоны. Это Moxie-то никого не ломал? Эээ, да, согласен — я кстати смотрел ту его презентацию, позор на мою голову. Разве что не было информации, что пароли были использованы. Считать ли просто получение доступа к паролю не к защищенной им информации взломом — это вопрос. Встречайте первого лунного туриста 14,2k Как мы авторов мотивировали: Ucraft открывает офлайн-магазин сайтов. Услуги Реклама Тарифы Контент Семинары.

Обход https

Купить Наркотики в Комсомольске-на-амуре

Купить героин в Кострома

Обход https

Купить Шишки в Волгореченск

Миксы трава

Купить Метамфетамин в Черемхово

Обход https

Купить бошки в Ковров

Купить lsd в Льгов

Обход https

Закладки тольятти скорости