Autor
|
Tema: duda man in the middle (Leído 6,113 veces)
|
General Dmitry Vergadoski
Desconectado
Mensajes: 890
General de División.
|
hola amigos queria saber si actualmente se puede conseguir la contraseña de hotmail gmail y yahoo mail de una victima, mediante "man in the middle".
muchas gracias de antemano.
|
|
|
En línea
|
Primero mártir que arrodillado frente una dictadura.
|
|
|
123456
Desconectado
Mensajes: 79
|
no, van por https, y si no puedes descifrarlo pues nada
|
|
|
En línea
|
|
|
|
v4char
Desconectado
Mensajes: 61
|
|
|
|
En línea
|
|
|
|
engel lex
|
El metodo expuesto en esa pagina no sirve... Si intentas bajar facebok y gmail (entre otros) a http, lanzará un aviso sobre que estan intentando hackearte, todo navegador moderno tiene reelegistro de que paginas solo deben ser https y no
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
v4char
Desconectado
Mensajes: 61
|
|
|
|
En línea
|
|
|
|
engel lex
|
Probablemente lance aviso por un certificado cambiado extrañamente, pero seguro algunos navegadores pueden llegar a ser vulnerables
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Kaxperday
Desconectado
Mensajes: 702
The man in the Middle
|
MITM + SSLStrip(para pasar de HTTPS a HTTP) y si la página usa HSTS entonces usa SSLStrip 2.
La mayoría de los navegadores, lanzan una alerta cuando el certificado es falso, según me dijo un amigo, firefox hasta hace poco era vulnerable, pues podías interferir en su descarga de nuevos certificados y allí instalar los certificados que quiera el atacante, de esa manera no saltaría ninguna alerta, cuando la víctima tratara de usar tu certificado, pero claro, todo esto se acaba parcheando y es distinto para cada navegador.
Pero debería de haber una manera de poderlo hacer con certificados falsos más sencilla, sería bastante hardcore, interceptar HTTPS sin que les salte ninguna alerta, algo por lo que no haya que pasar por instalar software a la víctima, alguna manera jugando con los paquetes de la red, y conseguir engañarla.
Saludos.
|
|
|
En línea
|
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.
|
|
|
General Dmitry Vergadoski
Desconectado
Mensajes: 890
General de División.
|
y envenenar las DNS desde man in the middle, se puede actualmente? antes recuerdo podias ponerle que cuando entrara en hotmail le apareciera un fake ahi cogias su clave y despues volvias a poner la pagina original... se puede hacer actualmente?
|
|
|
En línea
|
Primero mártir que arrodillado frente una dictadura.
|
|
|
engel lex
|
y envenenar las DNS desde man in the middle, se puede actualmente? antes recuerdo podias ponerle que cuando entrara en hotmail le apareciera un fake ahi cogias su clave y despues volvias a poner la pagina original... se puede hacer actualmente?
aunque envenenes el DNS, si no tienes un certificado valido en los navegadores protegidos se lanzará una alerta
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
|
|