6 Instrumente de atac HTTP MITM pentru cercetătorii de securitate

de
Tweet
Share
Share
Pin

Un atac de tip „man-in-the-middle” (MITM) este atunci când un actor rău întrerupe o conversație stabilită în rețea sau un transfer de date. Atacatorul stă în mijlocul căii de transfer și apoi pretinde sau acționează ca un participant legitim la conversație.

În practică, atacatorii se poziționează între cererile primite și răspunsurile trimise. În calitate de utilizator, veți continua să credeți că vorbiți direct cu serverul de destinație legitim sau cu aplicația web, cum ar fi Facebook, Twitter, banca online și altele. Cu toate acestea, în realitate, veți trimite cereri către omul din mijloc, care apoi vorbește cu banca sau aplicația dvs. în numele dvs.

Imagine de Imperva

Ca atare, omul din mijloc va vedea totul, inclusiv toate cererile și răspunsurile pe care le primiți de la serverul de destinație sau țintă. Pe lângă vizualizarea întregii conversații, omul din mijloc vă poate modifica cererile și răspunsurile, vă poate fura acreditările, vă poate direcționa către un server pe care îl controlează sau poate efectua alte infracțiuni cibernetice.

În general, atacatorul poate intercepta fluxul de comunicații sau datele de la oricare dintre părțile conversației. Atacatorul poate modifica informațiile sau poate trimite link-uri sau răspunsuri rău intenționate ambilor participanți legitimi. În cele mai multe cazuri, acest lucru poate rămâne nedetectat pentru o perioadă de timp, până mai târziu, după multe daune.

Tehnici obișnuite de atac de tip om-in-the-middle

Sniffing de pachete: – Atacatorul folosește diverse instrumente pentru a inspecta pachetele de rețea la un nivel scăzut. Sniffing-ul permite atacatorilor să vadă pachete de date pe care nu sunt autorizați să le acceseze.

Injecție de pachete: – în cazul în care atacatorii injectează pachete rău intenționate în canalele de comunicare de date. Înainte de injectare, infractorii vor folosi mai întâi sniffing pentru a identifica cum și când să trimită pachetele rău intenționate. După injectare, pachetele proaste se amestecă cu cele valide în fluxul de comunicare.

Deturnarea sesiunii: În majoritatea aplicațiilor web, procesul de conectare creează un simbol de sesiune temporară, astfel încât utilizatorul să nu fie nevoit să tasteze în continuare parola pentru fiecare pagină sau orice solicitare viitoare. Din păcate, un atacator care folosește diverse instrumente de sniffing poate identifica și utiliza simbolul de sesiune, pe care îl poate folosi acum pentru a face cereri pretinzând a fi utilizatorul legitim.

Eliminarea SSL: Atacatorii pot folosi tehnica de declanșare SSL pentru a intercepta pachetele legitime, a modifica cererile bazate pe HTTPS și a le direcționa către destinația echivalentă HTTP nesigură. În consecință, gazda va începe să facă o solicitare necriptată către server, prin urmare va expune datele sensibile ca text simplu care este ușor de furat.

  Configurați RetroPie pe Raspberry Pi 3: Ghid rapid

Consecințele atacurilor MITM

Atacurile MITM sunt periculoase pentru orice organizație și deoarece pot duce la pierderi financiare și de reputație.

De obicei, infractorii pot obține și utiliza abuziv informațiile sensibile și private ale organizației. De exemplu, aceștia pot fura acreditări precum nume de utilizator și parole, detaliile cardului de credit și le pot folosi pentru a transfera fonduri sau pentru a face achiziții neautorizate. Ei pot folosi, de asemenea, acreditări furate pentru a instala programe malware sau pentru a fura alte informații sensibile – pe care le pot folosi pentru a șantaja compania.

Din acest motiv, este esențial să se protejeze utilizatorii și sistemele digitale pentru a minimiza riscurile atacurilor MITM.

Instrumente de atac MITM pentru echipele de securitate

Pe lângă utilizarea unor soluții și practici de securitate fiabile, trebuie să utilizați instrumentele necesare pentru a vă verifica sistemele și a identifica vulnerabilitățile pe care atacatorii le pot exploata. Pentru a vă ajuta să faceți alegerea corectă, iată câteva dintre instrumentele de atac HTTP MITM pentru cercetătorii de securitate.

Hetty

Hetty este un set de instrumente HTTP rapid cu sursă deschisă, cu funcții puternice pentru a sprijini cercetătorii de securitate, echipele și comunitatea de recompense pentru erori. Instrumentul ușor cu o interfață web Next.js încorporată cuprinde un om HTTP în proxy din mijloc.

Caracteristici cheie

  • Vă permite să efectuați o căutare integrală
  • Are un modul de expeditor care vă permite să trimiteți manual solicitări HTTP, fie pe baza solicitărilor off din jurnalul proxy, fie prin crearea lor de la zero.
  • Un modul atacator care vă permite să trimiteți automat cereri HTTP
  • Instalare simplă și interfață ușor de utilizat
  • Trimiteți manual cererile HTTP fie pornind de la zero, creând cererea, fie prin simpla copiere din jurnalul Proxy.

Bettercap

Bettercap este un instrument cuprinzător și scalabil de recunoaștere și atac de rețea.

Soluția ușor de utilizat oferă inginerilor inversi, experților în securitate și echipelor roșii toate funcțiile pentru a testa sau ataca rețelele Wi-Fi, IP4, IP6, dispozitive Bluetooth Low Energy (BLE) și dispozitive HID fără fir. În plus, instrumentul are capabilități de monitorizare a rețelei și alte caracteristici, cum ar fi crearea unui punct de acces fals, snifferul de parole, spooferul DNS, capturarea strângerii de mână etc.

Caracteristici cheie

  • Un sniffer de rețea puternic încorporat pentru identificarea datelor de autentificare și colectarea acreditărilor
  • puternic, extensibil
  • Sondați și testați în mod activ și pasiv gazdele rețelei IP pentru potențiale vulnerabilități MITM.
  • Interfață de utilizator interactivă și ușor de utilizat, bazată pe web, care vă permite să efectuați o gamă largă de atacuri MITM, să detectați acreditările, să controlați traficul HTTP și HTTP etc.
  • Extrageți toate datele pe care le adună, cum ar fi acreditările POP, IMAP, SMTP și FTP, adrese URL vizitate și gazde HTTPS, cookie-uri HTTP, date postate HTTP și multe altele. Apoi îl prezintă într-un fișier extern.
  • Manipulați sau modificați traficul TCP, HTTP și HTTPS în timp real.
  10 instrumente de vizualizare în cloud pentru AWS, Azure, GCP și altele

Proxy.py

Proxy.py este un server proxy WebSockets, HTTP, HTTPS și HTTP2 cu sursă deschisă ușoară. Disponibil într-un singur fișier Python, instrumentul rapid permite cercetătorilor să inspecteze traficul web, inclusiv aplicațiile criptate TLS, consumând în același timp resurse minime.

Caracteristici cheie

  • Este un instrument rapid și scalabil care poate gestiona zeci de mii de conexiuni pe secundă.
  • Funcții programabile, cum ar fi un server web încorporat, un proxy și personalizarea rutei HTTP etc
  • Are un design ușor care utilizează 5-20 MB RAM. De asemenea, se bazează pe bibliotecile standard Python și nu necesită dependențe externe.
  • Un tablou de bord personalizabil în timp real pe care îl puteți extinde folosind plugin-uri. De asemenea, vă oferă opțiunea de a inspecta, monitoriza, configura și controla proxy.py în timpul execuției.
  • Instrumentul securizat folosește TLS pentru a oferi criptare end-to-end între proxy.py și client.

Mitmproxy

The mitmproxy este o soluție proxy HTTPS cu sursă deschisă, ușor de utilizat.

În general, instrumentul ușor de instalat funcționează ca un proxy HTTP man-in-the-middle SSL și are o interfață de consolă care vă permite să inspectați și să modificați fluxul de trafic din mers. Puteți utiliza instrumentul bazat pe linia de comandă ca proxy HTTP sau HTTPS pentru a înregistra tot traficul de rețea, a vedea ce solicită utilizatorii și a le reda. De obicei, mitmproxy se referă la un set de trei instrumente puternice; mitmproxy (interfață de consolă), mitmweb (interfață bazată pe web) și mitmdump (versiunea de linie de comandă).

Caracteristici cheie

  • Instrument interactiv și de încredere de analiză și modificare a traficului HTTP
  • Un instrument flexibil, stabil, fiabil, ușor de instalat și utilizat
  • Vă permite să interceptați și să modificați solicitările și răspunsurile HTTP și HTTPS din mers
  • Înregistrați și salvați conversațiile HTTP pe partea client și pe server, apoi reluați-le și analizați-le în viitor
  • Generați certificatele SSL/TLS pentru a le intercepta din mers
  • Caracteristicile proxy invers vă permit să redirecționați traficul de rețea către un alt server.

Burp

Burp este un instrument de scanare a vulnerabilităților automatizat și scalabil. Instrumentul este o alegere bună pentru mulți profesioniști în securitate. În general, le permite cercetătorilor să testeze aplicații web și să identifice vulnerabilitățile pe care infractorii le pot exploata și lansa atacuri MITM.

Utilizează un flux de lucru condus de utilizator pentru a oferi o vedere directă a aplicației țintă și a modului în care funcționează. Funcționând ca un server proxy web, Burp se află ca omul de mijloc între browserul web și serverele de destinație. În consecință, acest lucru vă permite să interceptați, să analizați și să modificați traficul de solicitare și răspuns.

  Cum se creează poțiuni de restabilire a sănătății în Skyrim

Caracteristici cheie

  • Interceptați și inspectați traficul brut de rețea în ambele direcții între browser web și server
  • Întrerupe conexiunea TLS în traficul HTTPS între browser și serverul de destinație, permițând astfel atacatorului să vadă și să modifice datele criptate
  • Alegerea de a utiliza browserul încorporat Burps sau browserul web standard extern
  • Soluție automată, rapidă și scalabilă de scanare a vulnerabilităților, vă permite să scanați și să testați aplicațiile web mai rapid și eficient, identificand astfel o gamă largă de vulnerabilități
  • Afișați cererile și răspunsurile HTTP interceptate individuale
  • Examinați manual traficul interceptat pentru a înțelege detaliile unui atac.

Ettercap

Ettercap este un analizor și interceptor de trafic de rețea open-source.

Instrumentul cuprinzător de atacuri MITM permite cercetătorilor să disecă și să analizeze o gamă largă de protocoale și gazde de rețea. De asemenea, poate înregistra pachetele de rețea într-o rețea LAN și în alte medii. În plus, analizatorul de trafic de rețea multifuncțional poate detecta și opri atacurile de tip om-in-the-middle.

Caracteristici cheie

  • Interceptați traficul de rețea și capturați acreditări, cum ar fi parolele. De asemenea, poate decripta datele criptate și poate extrage acreditări, cum ar fi nume de utilizator și parole.
  • Potrivit pentru detectarea profundă a pachetelor, testarea, monitorizarea traficului de rețea și furnizarea de filtrare a conținutului în timp real.
  • Acceptă interceptarea, disecția și analizele active și pasive ale protocoalelor de rețele, inclusiv cele cu criptare
  • Analizați o topologie de rețea și stabiliți sistemele de operare instalate.
  • Interfață grafică ușor de utilizat cu opțiuni de operare GUI interactive și non-interactive
  • utilizează tehnici de analiză precum interceptarea ARP, filtrarea IP și MAC și altele pentru a intercepta și analiza traficul

Prevenirea atacurilor MITM

Identificarea atacurilor MITM nu este foarte ușoară, deoarece se întâmplă departe de utilizatori și este greu de detectat, deoarece atacatorii fac ca totul să pară normal. Cu toate acestea, există mai multe practici de securitate pe care organizațiile le pot folosi pentru a preveni atacurile de tip man-in-the-middle. Acestea includ;

  • Securizați conexiunile la internet la rețelele de serviciu sau de acasă, cum ar fi prin utilizarea de soluții și instrumente eficiente de securitate pe serverele și computerele dvs., soluții de autentificare fiabile
  • Implementarea criptării puternice WEP/WAP pentru punctele de acces
  • Asigurați-vă că toate site-urile web pe care le vizitați sunt securizate și au HTTPS în URL.
  • Evitați să faceți clic pe mesajele de e-mail și linkurile suspecte
  • Implementați HTTPS și dezactivați protocoalele TLS/SSL nesigure.
  • Utilizați rețele private virtuale acolo unde este posibil.
  • Folosind instrumentele de mai sus și alte soluții HTTP pentru a identifica și aborda toate vulnerabilitățile de tip man-in-the-middle pe care atacatorii le pot exploata.