• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Решено Что можно сделать?

G

ginweff

В колледже есть библиотека, где есть компы, естественно никто не пользуется ими по назначению (по учебе), а все сидят в вконтактиках. Можно ли как-то воровать данные при авторизации?
 

id2746

Green Team
12.11.2016
435
644
BIT
14
Воровать нельзя!
Но вы можете построить аналогичную сеть из виртуальных машин у себя дома и попробовать воспользоваться снифером, чтобы убедиться самостоятельно и рассказать другим, как могут быть похищены личные данные. Например [HIDEL="2"] , который работает под linux, шиндовс, и даже android ;)
[doublepost=1485328440,1485323897][/doublepost]Касательно снифинга, могу создать тему с определенным инструментом (если администрация не против) и пригласить к участию непостредственно разработчика. Ему в свою очередь будет интересно получить фидбэк по продукту для дальнейшего развития.
 

Dosia

Green Team
08.12.2016
96
27
BIT
0
Poisontap.
[doublepost=1485335332,1485335107][/doublepost]Можно попробывать MITM или же sslstrip, если идет https трафик.
 
  • Нравится
Реакции: id2746

Сергей Попов

Кодебай
30.12.2015
4 691
6 584
BIT
291
Касательно снифинга, могу создать тему с определенным инструментом (если администрация не против) и пригласить к участию непостредственно разработчика. Ему в свою очередь будет интересно получить фидбэк по продукту для дальнейшего развития.
Почему бы и нет ... Будет здорово, если в конце повествования будет информация по защите.
 
F

FreeManOfPeace

[HIDE="2"]А почему бы не подойти к вопросу проще, получаем доступ к роутеру, подменяем DNS на свой, фейковый, а с него устраиваем фишинг на фейковые страницы авторизации? Не все же смотрят на иконку HTTPS. Для надёжности можно рандомное перекидывание сделать что бы 1 из 10 раз кидало на фейковую, например.
 
K

Kareon07

Poisontap.
[doublepost=1485335332,1485335107][/doublepost]Можно попробовать MITM или же sslstrip, если идет https трафик.

Вроде sslstrip уже не помогает для таких сайтов как вк, mail.ru и так далее (пофиксили).
Так как не пропускает сконвертированный с https трафика в http.

P.S. поправьте, если не прав.
 
A

ArtyomHC

Если компьютеры подключены по WI-FI можно даже с телефона просто сбрасывать куки и потом при авторизации, вы будете видеть логины и пароли.
А приложений для андроида хватает;)
 
F

FreeManOfPeace

Если компьютеры подключены по WI-FI можно даже с телефона просто сбрасывать куки и потом при авторизации, вы будете видеть логины и пароли.
А приложений для андроида хватает;)
Это если по HTTP авторизация, а сейчас на всеx популярныx сайтаx HTTPS
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!