elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Capturar contraseñas y correos electronicos en HTTPS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Capturar contraseñas y correos electronicos en HTTPS  (Leído 3,068 veces)
KR4XT4

Desconectado Desconectado

Mensajes: 2



Ver Perfil
Capturar contraseñas y correos electronicos en HTTPS
« en: 24 Febrero 2020, 02:41 am »

alguien que me pueda ayudar estoy entrando al mundo del hacking y soy un novato y quisiera saber si hay alguna forma de capturar contraseñas y correos electronicos que viajan por https usando un sniffer de red como wireshark o ettercap


Mod: Indicar asuntos descriptivos.
« Última modificación: 24 Febrero 2020, 10:12 am por #!drvy » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: https
« Respuesta #1 en: 24 Febrero 2020, 04:14 am »

si, es posible, ni por accidente simple... si fuera simple, o lo hubieran actualizado para hacerlo seguro o simplemente no se usara...

basicamente la unica forma está en falsificar la pagina y luego vencer el hsts  que es mucho mas complicado
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
El_Andaluz


Desconectado Desconectado

Mensajes: 4.075



Ver Perfil
Re: https
« Respuesta #2 en: 24 Febrero 2020, 04:16 am »

Es posible haciendo un ataque Man In The Middle que consiste en ponernos a «escuchar» las comunicaciones entre el servidor y el propio cliente.

Aquí tienes algo mas de información: https://www.redeszone.net/seguridad-informatica/sslstrip/
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: https
« Respuesta #3 en: 24 Febrero 2020, 06:09 am »

Es posible haciendo un ataque Man In The Middle que consiste en ponernos a «escuchar» las comunicaciones entre el servidor y el propio cliente.

Aquí tienes algo mas de información: https://www.redeszone.net/seguridad-informatica/sslstrip/

recuerda que hay con cualquier servidor decentemente cifrado el sslstrip de nada funciona por el hsts

Citar
engañar al servidor y convertir todo el HTTPS de una web en HTTP (sin cifrar)

y muchos servidores en plano ni si quiera tienen respuesta http mas que solicitar el aumento a https
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: Capturar contraseñas y correos electronicos en HTTPS
« Respuesta #4 en: 24 Febrero 2020, 10:42 am »

Hacer Man-In-The-Middle (MITM) y DNS-Spoofing sigue siendo viable en redes locales. pero como bien comenta el compañero engel lex, existen protecciones que evitan la degradación de la sesion HTTPS a HTTP. Hace años, por el 2010 y en adelante, era posible redireccionar a la víctima al puerto 80 (HTTP). El servidor redireccionaría al cliente de nuevo a HTTPS ya que los links del HTML aparecerían todos bajo HTTPS, pero el atacante los convertiría a HTTP haciendo posible ningún tipo de redirección a HTTPS (con SSLStrip). La víctima notaría la ausencia del "candado" en la página web, nada más.

Ahora, HSTS hace que la conexión falle siempre que el TLS handshake no se cumpla, y para engañar al cliente aquí necesitas un certificado firmado por una entidad de confianza (CA) que esté en la lista de certificados confiables del navegador (Firefox, Chrome etc). Los navegadores vienen con HSTS configurado para múltiples webs y otras se configura al visitar el sitio por primera vez.
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Correos electronicos
Seguridad
kaskull 7 4,541 Último mensaje 4 Noviembre 2011, 08:17 am
por haroldcito
El 80% del tráfico de correos electrónicos es basura
Noticias
wolfbcn 0 1,952 Último mensaje 29 Noviembre 2011, 18:10 pm
por wolfbcn
sobre los correos electronicos
Foro Libre
cholo89 7 2,702 Último mensaje 23 Julio 2015, 13:13 pm
por Eleкtro
Una duda sobre la ip de correos electronicos
Redes
gabrielprocs 4 2,746 Último mensaje 2 Marzo 2017, 12:04 pm
por engel lex
711 millones de correos electronicos expuestos
Noticias
wolfbcn 0 1,222 Último mensaje 3 Septiembre 2017, 13:45 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines