Título: aun funciona SSLStrip Publicado por: RedZer en 29 Octubre 2014, 09:12 am mi pregunta s la siguientee aun funciona SSLStrip? y e que nvegadores he leido k en firefox y chrome no funciona ya
Título: Re: aun funciona SSLStrip Publicado por: moikano→@ en 29 Octubre 2014, 10:43 am No funcionan por el HSTS.
Es un sistema que obliga al navegador a acceder por https. Se trata de una lista que tiene el propio navegador de esos sitios, si los sitios no están en la lista estos son vulnerables a sslstrip. Pero como en todo hay una trampa. Si controlas el dns puedes hacer un ataque sslstrip incluso a webs con HSTS. El aparato está aquí https://github.com/sensepost/mana/tree/master/sslstrip-hsts (https://github.com/sensepost/mana/tree/master/sslstrip-hsts) pero aún no lo he probado bien,no se si realmente funciona o no. Todo es tiempo. Título: Re: aun funciona SSLStrip Publicado por: RedZer en 29 Octubre 2014, 21:41 pm osea que probando dns spoffing y sslstrip en kali linux puede funcionar?
Título: Re: aun funciona SSLStrip Publicado por: .:UND3R:. en 30 Octubre 2014, 02:11 am Funciona en algunos casos a causa de lo que comenta moikano, pero en mi experiencia por ejemplo chrome solo obliga a gmail pero hotmail, facebook no los obliga.
Título: Re: aun funciona SSLStrip Publicado por: daryo en 30 Octubre 2014, 20:04 pm Citar Pero como en todo hay una trampa. Si controlas el dns puedes hacer un ataque sslstrip incluso a webs con HSTS. El aparato está aquí https://github.com/sensepost/mana/tree/master/sslstrip-hsts pero aún no lo he probado bien,no se si realmente funciona o no. Todo es tiempo. pues si lo rediriges a tu servidor local evidentemente funciona.lo unico es que si usa la dns de cache no va a servir que es muy probable si no borra constantemente los datos temporales del navegador. Citar Funciona en algunos casos a causa de lo que comenta moikano, pero en mi experiencia por ejemplo chrome solo obliga a gmail pero hotmail, facebook no los obliga. ¿y no habra sido que el navegador nunca habia abierto hotmail y por eso no lo obligaba? .Acabo de hacer la prueba con chromium con hotmail y solo puedo entrar por https el hsts guarda las paginas que le solicitan al navegador solo entrar por medio de https , chrome debe tener por defecto los servicios de google.Mientras que los de hotmail y etc se van activando a medida que visitan por primera ves una web Título: Re: aun funciona SSLStrip Publicado por: RedZer en 30 Octubre 2014, 22:29 pm podrias citarme un ejemplo de lo que me dices para investigar?
|