adminvista.com

6 HTTP MITM-attackverktyg för säkerhetsforskare

By rik

Förstå Man-in-the-Middle (MITM) -attacker

En man-i-mitten (MITM) -attack inträffar när en obehörig aktör avlyssnar en etablerad nätverkskommunikation eller dataöverföring. Angriparen positionerar sig i mitten av kommunikationsvägen och agerar som en legitim deltagare i konversationen.

I praktiken placerar angriparna sig mellan inkommande förfrågningar och utgående svar. Användaren tror att hen kommunicerar direkt med den avsedda servern eller webbapplikationen, till exempel Facebook, Twitter eller en nätbank. I själva verket skickas förfrågningarna till angriparen som sedan agerar som mellanhand mot den riktiga servern.

Detta innebär att angriparen kan se all kommunikation, inklusive dina förfrågningar och svaren du får. Utöver att se konversationen kan angriparen även ändra dina förfrågningar och svar, stjäla inloggningsuppgifter, omdirigera dig till en angripar-kontrollerad server eller begå andra cyberbrott.

Generellt sett kan angriparen fånga upp kommunikationsflödet från båda parter i konversationen. Angriparen kan sedan modifiera informationen eller skicka skadliga länkar eller svar till båda legitima deltagare. Ofta kan detta ske oupptäckt under en längre tid, tills stor skada har uppstått.

Vanliga tekniker som används i MITM-attacker

Paketsniffning: Angriparen använder verktyg för att granska nätverkspaket på låg nivå. Sniffning ger angripare möjlighet att se datapaket som de normalt inte har behörighet att komma åt.

Paketinjektion: Angripare injicerar skadliga paket i datakommunikationskanalerna. Innan injektionen sker, använder brottslingarna sniffning för att identifiera hur och när de ska skicka skadliga paket. Efter injektionen blandas de skadliga paketen med legitima paket i kommunikationsflödet.

Sessionskapning: I de flesta webbapplikationer skapas en temporär sessionstoken vid inloggning, så att användaren slipper ange lösenordet för varje sida. En angripare kan med hjälp av sniffningsverktyg identifiera och använda sessionstoken, och på så vis göra förfrågningar som om de vore den legitima användaren.

SSL-strippning: Angripare kan använda SSL-strippningstekniken för att avlyssna legitima paket, modifiera HTTPS-baserade förfrågningar och leda dem till osäkra HTTP-motsvarigheter. Detta resulterar i att värden skickar okrypterade förfrågningar till servern, vilket exponerar känslig information i klartext som enkelt kan stjälas.

Konsekvenser av MITM-attacker

MITM-attacker är skadliga för organisationer och kan orsaka ekonomiska förluster och skada ryktet.

Brottslingar kan få tillgång till och missbruka känslig och privat information från organisationer. De kan till exempel stjäla inloggningsuppgifter som användarnamn och lösenord, eller kreditkortsinformation, och använda det för att göra obehöriga transaktioner eller köp. De stulna inloggningsuppgifterna kan också användas för att installera skadlig programvara eller stjäla ytterligare känslig information som sedan kan användas för utpressning.

Det är därför av största vikt att skydda användare och digitala system för att minimera risken för MITM-attacker.

Verktyg för säkerhetsteam mot MITM-attacker

Förutom att använda robusta säkerhetslösningar och metoder är det viktigt att använda rätt verktyg för att undersöka system och upptäcka sårbarheter som angripare kan utnyttja. Nedan följer några verktyg som kan vara användbara för säkerhetsforskare.

Hetty

Hetty är en snabb, öppen källkods HTTP-verktygslåda med kraftfulla funktioner för att stödja säkerhetsforskare och bug-bounty-communityn. Det är ett lätt verktyg med ett inbäddat Next.js-webbgränssnitt som fungerar som en HTTP man-i-mitten proxy.

Nyckelfunktioner:

  • Möjliggör fulltextsökning.
  • Har en avsändarmodul som gör det möjligt att skicka HTTP-förfrågningar manuellt, baserat på fångade förfrågningar från proxyloggen eller från grunden.
  • En angriparemodul som möjliggör automatisk sändning av HTTP-förfrågningar.
  • Enkel installation och användarvänligt gränssnitt.
  • Möjliggör manuell sändning av HTTP-förfrågningar, antingen från grunden, genom att skapa dem, eller genom att kopiera dem från proxyloggen.

Bettercap

Bettercap är ett omfattande och skalbart verktyg för nätverksspaning och attacker.

Den användarvänliga lösningen ger säkerhetsexperter alla funktioner som behövs för att testa eller attackera Wi-Fi, IP4, IP6-nätverk, Bluetooth Low Energy-enheter (BLE) och trådlösa HID-enheter. Dessutom har verktyget nätverksövervakningsfunktioner och funktioner för att skapa falska åtkomstpunkter, lösenordssniffning, DNS-spoofing, handskakningsfångst och mer.

Nyckelfunktioner:

  • En kraftfull inbyggd nätverkssniffer för att identifiera autentiseringsdata och samla in inloggningsuppgifter.
  • Kraftfullt och utbyggbart.
  • Undersöker och testar IP-nätverksvärdar aktivt och passivt för potentiella MITM-sårbarheter.
  • Ett enkelt att använda och interaktivt webbaserat gränssnitt för att utföra MITM-attacker, sniffa inloggningsuppgifter, övervaka HTTP- och HTTPS-trafik.
  • Extraherar data, som POP-, IMAP-, SMTP- och FTP-uppgifter, besökta webbadresser, HTTPS-värdar, HTTP-cookies och HTTP-postdata, och presenterar det i en extern fil.
  • Manipulerar eller modifierar TCP-, HTTP- och HTTPS-trafik i realtid.

Proxy.py

Proxy.py är en lättviktig öppen källkods WebSockets-, HTTP-, HTTPS- och HTTP2-proxyserver. Det snabba verktyget, som finns i en enda Python-fil, gör det möjligt för forskare att inspektera webbtrafik, inklusive TLS-krypterade appar, samtidigt som minimala resurser förbrukas.

Nyckelfunktioner:

  • Ett snabbt och skalbart verktyg som kan hantera tiotusentals anslutningar per sekund.
  • Programmerbara funktioner som inbyggd webbserver, proxy och HTTP-routinganpassning.
  • Lätt design med 5-20 MB RAM-användning. Använder Python-standardbiblioteket utan externa beroenden.
  • Anpassningsbar instrumentpanel i realtid som kan utökas med plugins. Möjlighet att inspektera, övervaka, konfigurera och styra proxy.py under körning.
  • Säkert verktyg med TLS för end-to-end-kryptering mellan proxy.py och klienten.

Mitmproxy

mitmproxy är en lättanvänd HTTPS-proxylösning med öppen källkod.

Verktyget fungerar som en SSL man-i-mitten HTTP-proxy, och har ett konsolgränssnitt för att inspektera och ändra trafikflödet i realtid. Det kommandoradsbaserade verktyget kan användas som en HTTP- eller HTTPS-proxy för att registrera nätverkstrafik, se användarbegäranden och spela upp dem igen. mitmproxy består av tre verktyg; mitmproxy (konsolgränssnitt), mitmweb (webbaserat gränssnitt) och mitmdump (kommandoradsversion).

Nyckelfunktioner:

  • Interaktivt och pålitligt verktyg för analys och modifiering av HTTP-trafik.
  • Flexibelt, stabilt, pålitligt, enkelt att installera och använda.
  • Möjliggör avlyssning och modifiering av HTTP- och HTTPS-förfrågningar och svar i realtid.
  • Registrerar och sparar HTTP-konversationer på klient- och serversidan, för senare analys.
  • Genererar SSL/TLS-certifikat för avlyssning i realtid.
  • Omvänd proxy-funktioner för att vidarebefordra nätverkstrafik till en annan server.

Burp

Burp är ett automatiserat och skalbart verktyg för sårbarhetsskanning. Det är ett populärt val för säkerhetspersonal, och gör det möjligt för forskare att testa webbapplikationer och identifiera sårbarheter som kan utnyttjas i MITM-attacker.

Burp fungerar som en webbproxy och placerar sig i mitten mellan webbläsaren och destinationsservrarna. Det gör det möjligt att avlyssna, analysera och modifiera förfrågnings- och svarstrafiken.

Nyckelfunktioner:

  • Avlyssnar och inspekterar rå nätverkstrafik i båda riktningar mellan webbläsaren och servern.
  • Bryter TLS-anslutningen i HTTPS-trafik mellan webbläsaren och destinationsservern, vilket möjliggör visning och modifiering av krypterad data.
  • Val mellan att använda den inbäddade Burps-webbläsaren eller en extern webbläsare.
  • Automatiserad, snabb och skalbar sårbarhetsskanning för effektivare testning och identifiering av ett brett spektrum av sårbarheter.
  • Visar enskilda avlyssnade HTTP-förfrågningar och svar.
  • Möjliggör manuell granskning av avlyssnad trafik för att förstå detaljerna i en attack.

Ettercap

Ettercap är en öppen källkods nätverkstrafikanalysator och interceptor.

Det omfattande MITM-attackverktyget gör det möjligt för forskare att analysera ett brett utbud av nätverksprotokoll och värdar. Det kan registrera nätverkspaket i ett LAN och andra miljöer. Dessutom kan den även upptäcka och stoppa man-i-mitten-attacker.

Nyckelfunktioner:

  • Avlyssnar nätverkstrafik och fångar in inloggningsuppgifter, som lösenord. Kan dekryptera krypterad data och extrahera användarnamn och lösenord.
  • Lämpligt för djuplodande paketsniffning, testning, övervakning av nätverkstrafik och realtidsfiltrering av innehåll.
  • Stöd för aktiv och passiv avlyssning, analys av nätverksprotokoll, även krypterade.
  • Analys av nätverkstopologi och detektering av installerade operativsystem.
  • Användarvänligt grafiskt användargränssnitt med interaktiva och icke-interaktiva driftalternativ.
  • Använder analysmetoder som ARP-avlyssning, IP- och MAC-filtrering för att avlyssna och analysera trafik.

Förebyggande av MITM-attacker

Det är svårt att upptäcka MITM-attacker eftersom de sker dolt och ger ett normalt intryck. Det finns dock flera säkerhetsrutiner som organisationer kan använda för att förebygga dessa attacker. Bland annat:

  • Säkra internetanslutningar på arbetsplatsen eller i hemnätverk genom att använda effektiva säkerhetslösningar och verktyg på servrar och datorer, samt tillförlitliga autentiseringslösningar.
  • Implementera stark WEP/WAP-kryptering för åtkomstpunkter.
  • Kontrollera att alla webbplatser du besöker är säkra och använder HTTPS i URL:en.
  • Undvik att klicka på misstänkta e-postmeddelanden och länkar.
  • Tvinga HTTPS och avaktivera osäkra TLS/SSL-protokoll.
  • Använd virtuella privata nätverk när det är möjligt.
  • Använda verktyg som nämnts ovan och andra HTTP-lösningar för att identifiera och åtgärda man-i-mitten-sårbarheter.

5 bästa Windows-registerrengöringsmedel för att hålla din dator smidig

Så här kontrollerar du din Ubuntu-version (4 metoder)