web-dev-qa-db-ja.com

SSLStripを使用しても、パスワードは暗号化されたままです

私は自分のネットワークでSSLStripを実行しました(教育目的のみです!)そして、ユーザー名とすべてを持っています。

system=Test&uid=dixon01&__password=hkulqlyhza&command=login&password=320dd485b1834cf8%7C%40%7C0bf892a5b7dbf901%7C%40%7C5e5f2722f2ed1cc0%7C%28%23%29%7C

Sslは機能し、Webサイトとの接続はhttpですが、パスワードはまだ暗号化されていますか?パスワードは暗号化としてカウントされますか?それとも、エンコードのすぐ下ですか?

2
Antonio

SSLStripは、MITM攻撃の被害者がSSLリンクをクリックしてSSLを使用するのを防ぐために使用される透過プロキシです。このSSLStripを実現するには、https://で始まるすべてのリンクをhttp://に置き換えます。この背後にある考え方は、ほとんどのユーザーが暗号化を認識しておらず、Webページのリンクの所有者のために暗号化を使用するか、Webページの安全なバージョンにリダイレクトすることさえあるということです。

表示されるリクエストは、読み取ることができるため、明らかに暗号化されていません。したがって、これはSSLStripの問題ではありません。これはアプリケーション固有です。 javascriptを使用してパスワードを前処理できます。このプロセスは、たとえば送信ボタンをクリックすることでトリガーできます。これは、パスソードがワイヤーを移動する場所での縫合を防ぐために行われます。あなたはそのような状況にあるようです。 FirebugのあるWebページを見てください。たとえば、clickイベントがトリガーされたときにトリガーされるコスタム機能のボタンや、keyupがトリガーされたときにトリガーされるコスタムイベントの入力テキストフィールドを確認できます。

1
davidb