duda man in the middle

Iniciado por Siempre Azul, 26 Julio 2015, 23:38 PM

0 Miembros y 1 Visitante están viendo este tema.

Siempre Azul

hola amigos queria saber si actualmente se puede conseguir la contraseña de hotmail gmail y yahoo mail de una victima, mediante "man in the middle".

muchas gracias de antemano.
Siempre Azul, Nunca Rojo.

123456

no, van por https, y si no puedes descifrarlo pues nada


engel lex

El metodo expuesto en esa pagina no sirve... Si intentas bajar facebok y gmail (entre otros) a http, lanzará un aviso sobre que estan intentando hackearte, todo navegador moderno tiene reelegistro de que paginas solo deben ser https y no 
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.


engel lex

Probablemente lance aviso por un certificado cambiado extrañamente, pero seguro algunos navegadores pueden llegar a ser vulnerables
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Kaxperday

MITM + SSLStrip(para pasar de HTTPS a HTTP) y si la página usa HSTS entonces usa SSLStrip 2.

La mayoría de los navegadores, lanzan una alerta cuando el certificado es falso, según me dijo un amigo, firefox hasta hace poco era vulnerable, pues podías interferir en su descarga de nuevos certificados y allí instalar los certificados que quiera el atacante, de esa manera no saltaría ninguna alerta, cuando la víctima tratara de usar tu certificado, pero claro, todo esto se acaba parcheando y es distinto para cada navegador.

Pero debería de haber una manera de poderlo hacer con certificados falsos más sencilla, sería bastante hardcore, interceptar HTTPS sin que les salte ninguna alerta, algo por lo que no haya que pasar por instalar software a la víctima, alguna manera jugando con los paquetes de la red, y conseguir engañarla.

Saludos.

Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.

Siempre Azul

y envenenar las DNS desde man in the middle, se puede actualmente? antes recuerdo podias ponerle que cuando entrara en hotmail le apareciera un fake ahi cogias su clave y despues volvias a poner la pagina original... se puede hacer actualmente?
Siempre Azul, Nunca Rojo.

engel lex

Cita de: doctorman en 27 Julio 2015, 13:31 PM
y envenenar las DNS desde man in the middle, se puede actualmente? antes recuerdo podias ponerle que cuando entrara en hotmail le apareciera un fake ahi cogias su clave y despues volvias a poner la pagina original... se puede hacer actualmente?

aunque envenenes el DNS, si no tienes un certificado valido en los navegadores protegidos se lanzará una alerta
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.