web-dev-qa-db-ja.com

sslstrip +がfacebookやgmailなどのWebサイトからのトラフィックをインターセプトできないのはなぜですか?

私はsslstripとmitmに関する記事を読んでいます。 HSTSが導入される前は、sslを取り除き、安全でないhttpページを被害者に送信することが可能でした。とにかく、sslを使用するサイトのURLを収集し、ユーザーがそのサイトの安全でないhttpバージョンにアクセスするのを防ぐHSTSを使用することで、これは克服されました。

しかし、sslstrip +(sslstrip2)では、攻撃者は http://www.facebook.com/ の代わりに http://wwww.facebook.com/ のような別のドメイン名を使用するため、ブラウザはhstsリストでドメインを検出せず、facebook(もちろん攻撃プロキシ)との安全でないhttp接続を許可します。

しかし、mail.google.com、www.facebook.comなどの特定のWebサイトでsslstrip +を正常に使用できません...

Man-in-The-Middle Framework(MiTMF)-Linuxで利用可能なツール(私はkali linuxにインストールしました)で、-hstsハンドラーを使用した場合にもHSTSを回避できると言われています(sslstrip + --hstsハンドラーを使用します)。

しかし、これはfacebookやgoogleなどのサイトではうまく機能していません。とにかく、ツールmitmfは http://social.facebook.com/ (存在しないWebサイトで、もちろんこれはブラウザのHSTSリストにない可能性があります)にリダイレクトします http:// www .facebook.com / 被害者のコンピュータから。しかし、すぐにwww.facebook.comを見つけることができなかったというエラーにつながります。ブラウザーのhstsリストにURL http://social.facebook.com が存在しない可能性がありますが、犠牲PCからFacebookの偽のURLにアクセスできません。

これらのケースでsslstrip +(Moxie Marlinspikeによる古いsslstripについて話していない)が失敗するのはなぜですか?誰かがこれらのサイトがsslstrip +を回避するために使用する方法を説明できますか?私はたくさんグーグルしましたが、正確な答えになりませんでした。

これは、Facebook、GMail、その他のWebサイトが HTTP Strict Transport Security(HSTS) のおかげでSSLで保護されることが想定されている(またはされていない)ことをブラウザに通知できるためです。これにより、以前のSSL実装の主な問題と、SSLstripが可能になった原因が修正されます。

2
user45139