• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

sslstrip+ dns2proxy

M

mtd

доброго времени суток. Товарищи, такой вопрос. поставил днступрокси, настроил, работает. поставил sslstrip+ сделал редирект через iptables на 9000 порт. но ничего не происходит. днс работает, т.е. открывает страницу по хттп. но когдаа хттпс подмена не происходит на хттп.
 
U

Underwood

но когдаа хттпс подмена не происходит на хттп
используется для принудительного использования браузером протокола https, даже в случае перехода по ссылкам с явным указанием протокола http, эффективная защита против sslstrip с 2012 года
 
  • Нравится
Реакции: Vertigo, Глюк и Sykes
U

Underwood

К тому же, практически во всех современных браузерах - реализован статический список HSTS заголовков, для доменов популярных веб-ресурсов по версии Alexa 500k, например - можно найти список для актуальной версии Firefox
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vertigo
U

Underwood

т.е. способа нет обойти ssl ? подменяя dns ?
Публичные, привычные методики атак на криптографию и архитектуру TLS быстро теряют актуальность, так как браузерные вендоры не спят, как в случае с sslsrip by , код которого опубликован на github 7 лет назад, как и все последующие форки уже давно запатчены и безнадежно устарели.
Существуют private решения, о которых бесплатно никто не расскажет, но в большинстве случаев все сводится к уровню администрирования TLS = криворукости админа сайта и "свежести" браузера клиента в каждом конкретном случае.
 
  • Нравится
Реакции: Vertigo
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!