web-dev-qa-db-ja.com

HTTPSサイトの画像をMITMfで置き換えますか?

HTTP経由で画像を置き換えるためにMITMfを使用していますが、すべて正常に動作します。しかし、HTTPSを使用するGoogleやFacebookなどのサイトの画像をどのように置き換えることができますか?

私の実際のコマンド:

Sudo python mitmf.py -i wlan0 --spoof --arp --hsts --gateway 192.168.1.254 --target 192.168.1.43 --imgrand --img-dir /home/pi/spof/better/MITMf/img/
1
KDev

Googleやfacebookなどのサイトでは、いくつかのブラウザーにHSTS(HTTPSを適用)とHPKP(証明書/公開鍵のピン留め)の設定がプリロードされています。これは、これらのサイトにhttpsでのみアクセスできる必要があること、および証明書がどのように見えるかをブラウザが認識していることを意味します。これは、SSLとHSTSヘッダー(つまり、--hstsオプション)は、これらのサイトに対しては機能しません。ブラウザがHTTPSが必須であることを(まだ)知らないサイトに対してのみ機能します。

あなたが必要とするのは、ブラウザからミドルプロキシのあなたの男へ、そしてプロキシから実サーバーへのHTTPS接続を持っている真のSSLマンを真ん中にすることです。この場合、クライアントへのHTTPS接続は、プロキシーによって作成された証明書によって署名され、関連するプロキシーCAは、ブラウザー/ OS内で信頼できるものとして明示的にセットアップする必要があります。

しかし、 mitmf を見てみると、真のSSL manを実行するためのオプションが提供されていることがわかりません。プリロードされたHSTS/HPKPのケース。したがって、 mitmproxy のような他のツールを使用する必要があります。

3
Steffen Ullrich

HTTPSを使用する重要な点は、接続の整合性を破壊するような攻撃を防ぐことです。 SSL MiTMを実行してSSLを解除する必要があります。ただし、SSLを破壊すると、ユーザーのブラウザがSSLのこの破壊についてユーザーにプロンプ​​トを表示し、そのようなエラーを無視するユーザーに依存する必要があります。また、HSTSCertificate Pre Loading, and Pinningなどのメカニズムにより、SSLを解読することがますます難しくなっていることにも注意してください。

0
user1720897