Вопросы по теме 'man-in-the-middle'
Безопасный вход в систему с передачей дополнительной контекстной информации (которая также должна быть безопасной)
Мое веб-приложение будет запускаться через существующие толстые клиентские приложения. При запуске будет сгенерирован HTTP-запрос POST, включающий такую информацию, как идентификатор пользователя и дополнительную контекстную информацию (в основном...
178 просмотров
schedule
28.10.2022
Человек посередине может изменить значение данных, отправляемых при атаке «Человек посередине».
Если я отправлю информацию от A к B, «Человек посередине» может изменить отправленные данные значения или он / она может только обнюхать их?
1030 просмотров
schedule
27.07.2022
Человек в центре атаки с scapy
Я пытаюсь провести атаку "человек посередине" с scapy в тестовой сети. Моя настройка такова:
Теперь, когда вы поняли идею, вот код:
from scapy.all import *
import multiprocessing
import time
class MITM:
packets=[]
def...
10619 просмотров
schedule
30.07.2022
Действительно ли заголовок HSTS помогает против MITM-атак?
Я прочитал памятку OWASP по HSTS по адресу https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_Support , а также посмотрел соответствующее видео: https://www.youtube.com/watch?v=zEV3HOuM_Vw
но все же я не могу понять, как это...
2586 просмотров
schedule
18.03.2022
SSL и непонимание посредника
Я прочитал массу документации, связанной с этой проблемой, но мне все еще не удается собрать все воедино, поэтому я хотел бы задать пару вопросов.
Прежде всего я кратко опишу процедуру аутентификации, как я ее понимаю, поскольку могу ошибаться в...
82356 просмотров
schedule
07.09.2022
Как HTTPS предотвращает повторные атаки?
Когда инициируется HTTPS-разговор, генерируется случайное число для создания ключа для обмена (или что-то в этом роде). Чего я не понимаю, так это того, как это предотвращает повторные атаки.
Почему злоумышленник не может просто повторить все...
2085 просмотров
schedule
25.03.2022
Закрепление сертификата в вызовах Ajax
Я считаю, что уже знаю ответ на этот вопрос, но я хотел узнать, есть ли у кого-нибудь более глубокое понимание этой проблемы. Я закрепил сертификаты в приложениях для Android и iOS, чтобы сделать их более защищенными от атак «человек посередине»....
4076 просмотров
schedule
13.10.2022
Обнаружение человека посередине из приложения
Сегодня провел интересный эксперимент.
Я открыл Amazon.com в своем браузере, вошел в систему, открыл Fiddler и попытался добавить совершенно новую кредитную карту.
Я ввел номер своей кредитной карты, срок действия и имя держателя карты. Когда я...
441 просмотров
schedule
28.07.2023
Атака «человек посередине» с использованием HTTPS и второго действующего сертификата
Учитывая эту ситуацию, можно выполнить атаку «человек посередине»:
Для связи используется протокол HTTPS
Злоумышленник перехватывает запрос от клиента и отправляет самому клиенту действительный сертификат, подписанный ЦС (не настоящий...
314 просмотров
schedule
25.03.2024
HSTS и SslStrip
Я создаю мастерскую с Sslstrip и ettercap. Когда все настроено нормально (я думаю), работает обычный случай: страница без Hsts будет «перенаправлена» на http. Однако популярные страницы, такие как Twitter и Facebook, используют Hsts. Я ожидал...
232 просмотров
schedule
24.03.2023
Как добавить доверенный корневой ЦС в Docker alpine
Предположим, я нахожусь в сети, где есть брандмауэр с заменой MITM SSL (google.com не выдается Google, а перевыпускается настраиваемым корневым центром CA)....
1731 просмотров
schedule
30.03.2024