aun funciona SSLStrip

Iniciado por RedZer, 29 Octubre 2014, 09:12 AM

0 Miembros y 1 Visitante están viendo este tema.

RedZer

mi pregunta s la siguientee aun funciona SSLStrip? y e que nvegadores he leido k en firefox y chrome no funciona ya
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

moikano→@

No funcionan por el HSTS.

Es un sistema que obliga al navegador a acceder por https. Se trata de una lista que tiene el propio navegador de esos sitios, si los sitios no están en la lista estos son vulnerables a sslstrip.
Pero como en todo hay una trampa. Si controlas el dns puedes hacer un ataque sslstrip incluso a webs con HSTS. El aparato está aquí https://github.com/sensepost/mana/tree/master/sslstrip-hsts pero aún no lo he probado bien,no se si realmente funciona o no. Todo es tiempo.

RedZer

osea que probando dns spoffing y sslstrip en kali linux puede funcionar?
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

.:UND3R:.

Funciona en algunos casos a causa de lo que comenta moikano, pero en mi experiencia por ejemplo chrome solo obliga a gmail pero hotmail, facebook no los obliga.

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

daryo

#4
CitarPero como en todo hay una trampa. Si controlas el dns puedes hacer un ataque sslstrip incluso a webs con HSTS. El aparato está aquí https://github.com/sensepost/mana/tree/master/sslstrip-hsts pero aún no lo he probado bien,no se si realmente funciona o no. Todo es tiempo.
pues si lo rediriges a tu servidor local evidentemente funciona.lo unico es que si usa la dns de cache no va a servir que es muy probable si no borra constantemente los datos temporales del navegador.


CitarFunciona en algunos casos a causa de lo que comenta moikano, pero en mi experiencia por ejemplo chrome solo obliga a gmail pero hotmail, facebook no los obliga.

¿y no habra sido que el navegador nunca habia abierto hotmail y por eso no lo obligaba? .Acabo de hacer la prueba con chromium con hotmail y solo puedo entrar por https

el hsts guarda las paginas que le solicitan al navegador solo entrar por medio de https , chrome debe tener por defecto los servicios de google.Mientras que los de hotmail y etc se van activando a medida que visitan por primera ves una web
buenas

RedZer

podrias citarme un ejemplo de lo que me dices para investigar?
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo