Принудительное Завершение Http-Сессий С Mitm

Обычно при перехвате трафика с помощью mitm есть два разных варианта: получить доступ к определенному веб-ресурсу, к которому обращается атакуемое лицо.

Наиболее предпочтительно перехватить момент авторизации и получить логин и пароль в открытом виде, что позволит вам иметь доступ к этому ресурсу в любое время.

Второй, наименее предпочтительный вариант — перехват файлов cookie уже активного сеанса; мы не получаем логин и пароль, но Но мы можем вставить эти самые файлы cookie в наш браузер и получить доступ к ресурсу на время сеанса.

Недостатки второго способа очевидны и для их устранения можно предпринять достаточно простые действия.

Поскольку злоумышленник имеет полный контроль над трафиком жертвы, он может принудительно «истекнуть» файлы cookie жертвы, заставив ее перейти на страницу авторизации, что позволит ему перехватить имя пользователя/пароль в открытом виде.

Логика работы следующая.

После начала атаки отслеживаются файлы cookie, передаваемые от клиента на сервер и обратно.

Файлы cookie с сервера заносятся в белый список, как если бы они были только что установлены.

При обнаружении файлов cookie от клиента, которых нет в белом списке, отправляется HTTP-ответ, в котором все отправленные файлы cookie сбрасываются следующим образом: Set-Cookie: %cookiename%=; путь =/; домен =%домен%; Истекает=Чт, 01 января 2000 г.

, 00:00:01 GMT Если все пойдет хорошо (разные ресурсы и браузеры по-разному обрабатывают файлы cookie), вы будете перенаправлены на страницу входа.

Сброс куки заносится в белый список и в дальнейшем спокойно пропускается, т.е.

после повторного входа на ресурс никаких обрывов больше не происходит. Идея была позаимствована у утилиты sslstrip; никаких других ссылок или реализаций обнаружено не было.

Описанный «убийца печенья» появился в Intercepter-NG 0.9.5; демонстрация его работы представлена в следующем видео.

Помимо убийцы файлов cookie, новая версия включает в себя подмену DNS, «клетку» ARP для изоляции одних хостов от других, поддержка нового формата Wireshark — pcapng и др.

Дополнительная информация на сайте проекта.

Теги: #intercepter-ng #sniffer #pcapng #DNS-spoofing #sslstrip #Cookies #ARP #ethernet #информационная безопасность

• Что Нужно И Чего Нельзя Делать При Интеллектуальном Анализе Данных, О Чем Следует Помнить

  19 Oct, 24

• Неизвестные Факты О Процессе Восстановления Данных, Раскрытые Экспертами

  19 Oct, 24

• Wsj: Youtube Будет Транслировать Популярные Фильмы И Сериалы

  19 Oct, 24

• Немного О Простых Вещах. Тестовый Дизайн. Часть 1

  19 Oct, 24

• Расширение Диапазона Датчиков Научной Метеорологической Станции Штата Орегон

  19 Oct, 24

• Ibm Планирует Создать Аналог Биткоина Для Обычных Валют

  19 Oct, 24

• «Космос — Последний Рубеж»: Немного Об Ит-Инфраструктуре Самого Быстрого Радиотелескопа Аскап

  19 Oct, 24

• Dbx: Попытка Избавиться От Написания Mysql-Запросов

  19 Oct, 24

• Создание Глобальной Базы Знаний По Батареям

  19 Oct, 24

• Идеальная Вакансия Для Разработчика. Как Оценить?

  19 Oct, 24