6 narzędzi HTTP MITM do ataków dla badaczy bezpieczeństwa

przez

Atak man-in-the-middle (MITM) ma miejsce, gdy zły aktor przerywa ustaloną rozmowę sieciową lub transfer danych. Atakujący siedzi pośrodku ścieżki transferu, a następnie udaje lub działa jako pełnoprawny uczestnik rozmowy.

W praktyce osoby atakujące ustawiają się pomiędzy przychodzącymi żądaniami a wychodzącymi odpowiedziami. Jako użytkownik będziesz nadal wierzyć, że rozmawiasz bezpośrednio z legalnym serwerem docelowym lub aplikacją internetową, taką jak Facebook, Twitter, bank internetowy i inne. Jednak w rzeczywistości będziesz wysyłać żądania do pośrednika, który następnie rozmawia z Twoim bankiem lub aplikacją w Twoim imieniu.

Zdjęcie autorstwa Impervy

W związku z tym mężczyzna pośrodku zobaczy wszystko, w tym wszystkie twoje żądania i odpowiedzi otrzymane z serwera docelowego lub docelowego. Oprócz przeglądania całej rozmowy, mężczyzna pośrodku może modyfikować twoje prośby i odpowiedzi, kraść twoje dane uwierzytelniające, kierować cię do kontrolowanego przez siebie serwera lub dopuszczać się innych cyberprzestępstw.

Ogólnie rzecz biorąc, osoba atakująca może przechwycić strumień komunikacji lub dane od którejkolwiek ze stron konwersacji. Osoba atakująca może następnie zmodyfikować informacje lub wysłać złośliwe łącza lub odpowiedzi do obu uprawnionych uczestników. W większości przypadków może to pozostać niezauważone przez jakiś czas, aż do późniejszych szkód.

Typowe techniki ataku typu man-in-the-middle

Wąchanie pakietów: – Atakujący używa różnych narzędzi do sprawdzania pakietów sieciowych na niskim poziomie. Sniffing pozwala atakującym zobaczyć pakiety danych, do których nie mają uprawnień dostępu.

Wstrzykiwanie pakietów: – gdy atakujący wstrzykują złośliwe pakiety do kanałów transmisji danych. Przed wstrzyknięciem przestępcy najpierw użyją sniffingu, aby określić, jak i kiedy wysłać złośliwe pakiety. Po wstrzyknięciu uszkodzone pakiety mieszają się z prawidłowymi w strumieniu komunikacyjnym.

Przejmowanie sesji: W większości aplikacji internetowych proces logowania tworzy tymczasowy token sesji, dzięki czemu użytkownik nie musi ciągle wpisywać hasła przy każdej stronie ani przy żadnym kolejnym żądaniu. Niestety, osoba atakująca korzystająca z różnych narzędzi do podsłuchiwania może zidentyfikować i użyć tokena sesji, którego może teraz użyć do wysyłania żądań podszywając się pod uprawnionego użytkownika.

Usuwanie SSL: Atakujący mogą wykorzystywać technikę wyzwalania SSL w celu przechwytywania prawidłowych pakietów, modyfikowania żądań opartych na HTTPS i kierowania ich do niezabezpieczonego odpowiednika HTTP. W rezultacie host zacznie wysyłać niezaszyfrowane żądanie do serwera, a tym samym ujawnić poufne dane w postaci zwykłego tekstu, który można łatwo ukraść.

Konsekwencje ataków MITM

Ataki MITM są niebezpieczne dla każdej organizacji, ponieważ mogą spowodować straty finansowe i utratę reputacji.

Zwykle przestępcy mogą uzyskiwać i niewłaściwie wykorzystywać poufne i prywatne informacje organizacji. Na przykład mogą ukraść dane uwierzytelniające, takie jak nazwy użytkownika i hasła, dane kart kredytowych i używać ich do przesyłania środków lub dokonywania nieautoryzowanych zakupów. Mogą również wykorzystywać skradzione dane uwierzytelniające do instalowania złośliwego oprogramowania lub kradzieży innych poufnych informacji – których mogą użyć do szantażowania firmy.

Z tego powodu tak ważna jest ochrona użytkowników i systemów cyfrowych, aby zminimalizować ryzyko ataków MITM.

Narzędzia ataku MITM dla zespołów bezpieczeństwa

Oprócz korzystania z niezawodnych rozwiązań i praktyk w zakresie bezpieczeństwa, musisz używać niezbędnych narzędzi do sprawdzania systemów i identyfikowania luk w zabezpieczeniach, które mogą wykorzystać osoby atakujące. Aby pomóc Ci dokonać właściwego wyboru, oto niektóre narzędzia ataku HTTP MITM dla badaczy bezpieczeństwa.

Hetty

Hetty to szybki zestaw narzędzi HTTP typu open source z zaawansowanymi funkcjami wspierającymi badaczy bezpieczeństwa, zespoły i społeczność zajmującą się nagrodami za błędy. Lekkie narzędzie z wbudowanym interfejsem sieciowym Next.js obejmuje człowieka HTTP w środkowym serwerze proxy.

Kluczowe cechy

  • Umożliwia przeprowadzenie wyszukiwania pełnotekstowego
  • Posiada moduł nadawcy, który umożliwia ręczne wysyłanie żądań HTTP na podstawie żądań wyłączenia z dziennika proxy lub tworzenia ich od podstaw.
  • Moduł atakujący, który umożliwia automatyczne wysyłanie żądań HTTP
  • Prosta instalacja i łatwy w obsłudze interfejs
  • Ręcznie wyślij żądania HTTP, zaczynając od zera, tworząc żądanie lub po prostu kopiując z dziennika serwera proxy.

Lepsza czapka

Lepsza czapka jest wszechstronnym i skalowalnym narzędziem do rozpoznawania i atakowania sieci.

To łatwe w użyciu rozwiązanie zapewnia inżynierom wstecznym, ekspertom ds. bezpieczeństwa i zespołom redakcyjnym wszystkie funkcje do testowania lub atakowania sieci Wi-Fi, IP4, IP6, urządzeń Bluetooth Low Energy (BLE) i bezprzewodowych urządzeń HID. Ponadto narzędzie ma możliwości monitorowania sieci i inne funkcje, takie jak tworzenie fałszywych punktów dostępu, sniffer haseł, spoofer DNS, przechwytywanie uścisku dłoni itp.

Kluczowe cechy

  • Potężny wbudowany sniffer sieciowy do identyfikowania danych uwierzytelniających i zbierania poświadczeń
  • potężny, rozszerzalny
  • Aktywnie i pasywnie sonduj i testuj hosty sieci IP pod kątem potencjalnych luk w zabezpieczeniach MITM.
  • Łatwy w użyciu i interaktywny internetowy interfejs użytkownika, który umożliwia przeprowadzanie szerokiej gamy ataków MITM, wąchanie danych uwierzytelniających, kontrolowanie ruchu HTTP i HTTP itp.
  • Wyodrębnij wszystkie gromadzone dane, takie jak poświadczenia POP, IMAP, SMTP i FTP, odwiedzane adresy URL i hosty HTTPS, pliki cookie HTTP, wysłane dane HTTP i inne. Następnie przedstawia go w pliku zewnętrznym.
  • Manipuluj lub modyfikuj ruch TCP, HTTP i HTTPS w czasie rzeczywistym.

Proxy.py

Proxy.py to lekki serwer proxy WebSockets typu open source, HTTP, HTTPS i HTTP2. Dostępne w jednym pliku Pythona, szybkie narzędzie umożliwia badaczom sprawdzanie ruchu internetowego, w tym aplikacji szyfrowanych TLS, przy minimalnym zużyciu zasobów.

Kluczowe cechy

  • Jest to szybkie i skalowalne narzędzie, które może obsłużyć dziesiątki tysięcy połączeń na sekundę.
  • Programowalne funkcje, takie jak wbudowany serwer WWW, serwer proxy i dostosowywanie routingu HTTP itp
  • Ma lekką konstrukcję, która wykorzystuje 5-20 MB pamięci RAM. Ponadto opiera się na standardowych bibliotekach Pythona i nie wymaga żadnych zewnętrznych zależności.
  • Konfigurowalny pulpit nawigacyjny w czasie rzeczywistym, który można rozszerzyć za pomocą wtyczek. Daje również możliwość sprawdzania, monitorowania, konfigurowania i kontrolowania proxy.py w czasie wykonywania.
  • Bezpieczne narzędzie korzysta z protokołu TLS, aby zapewnić kompleksowe szyfrowanie między serwerem proxy.py a klientem.

Mitmproxy

The mitmproxy to łatwe w użyciu rozwiązanie proxy HTTPS o otwartym kodzie źródłowym.

Ogólnie rzecz biorąc, to łatwe do zainstalowania narzędzie działa jako serwer proxy HTTP typu „man-in-the-middle” SSL i ma interfejs konsoli, który umożliwia sprawdzanie i modyfikowanie przepływu ruchu w locie. Możesz użyć narzędzia działającego w wierszu poleceń jako serwera proxy HTTP lub HTTPS do rejestrowania całego ruchu sieciowego, sprawdzania żądań użytkowników i odtwarzania ich. Zwykle mitmproxy odnosi się do zestawu trzech potężnych narzędzi; mitmproxy (interfejs konsoli), mitmweb (interfejs internetowy) i mitmdump (wersja wiersza poleceń).

Kluczowe cechy

  • Interaktywne i niezawodne narzędzie do analizy i modyfikacji ruchu HTTP
  • Elastyczne, stabilne, niezawodne, łatwe w instalacji i obsłudze narzędzie
  • Umożliwia przechwytywanie i modyfikowanie żądań i odpowiedzi HTTP i HTTPS w locie
  • Nagrywaj i zapisuj konwersacje HTTP po stronie klienta i serwera, a następnie odtwarzaj je i analizuj w przyszłości
  • Generuj certyfikaty SSL/TLS do przechwytywania w locie
  • Funkcje odwrotnego proxy umożliwiają przekazywanie ruchu sieciowego na inny serwer.

Beknięcie

Beknięcie to zautomatyzowane i skalowalne narzędzie do wykrywania luk w zabezpieczeniach. Narzędzie jest dobrym wyborem dla wielu profesjonalistów zajmujących się bezpieczeństwem. Zasadniczo umożliwia naukowcom testowanie aplikacji internetowych i identyfikowanie luk w zabezpieczeniach, które przestępcy mogą wykorzystać i przeprowadzać ataki MITM.

Wykorzystuje przepływ pracy sterowany przez użytkownika, aby zapewnić bezpośredni widok aplikacji docelowej i sposobu jej działania. Działając jako internetowy serwer proxy, Burp jest pośrednikiem między przeglądarką internetową a serwerami docelowymi. W konsekwencji umożliwia to przechwytywanie, analizowanie i modyfikowanie ruchu związanego z żądaniami i odpowiedziami.

Kluczowe cechy

  • Przechwytuj i sprawdzaj surowy ruch sieciowy w obu kierunkach między przeglądarką internetową a serwerem
  • Przerywa połączenie TLS w ruchu HTTPS między przeglądarką a serwerem docelowym, umożliwiając atakującemu przeglądanie i modyfikowanie zaszyfrowanych danych
  • Wybór użycia wbudowanej przeglądarki Burps lub zewnętrznej standardowej przeglądarki internetowej
  • Zautomatyzowane, szybkie i skalowalne rozwiązanie do wykrywania luk w zabezpieczeniach. Pozwala skanować i testować aplikacje internetowe szybciej i wydajniej, identyfikując w ten sposób szeroki zakres luk w zabezpieczeniach
  • Wyświetlaj poszczególne przechwycone żądania HTTP i odpowiedzi
  • Ręcznie przejrzyj przechwycony ruch, aby zrozumieć szczegóły ataku.

Ettercap

Ettercap jest analizatorem i przechwytywaczem ruchu sieciowego typu open source.

Wszechstronne narzędzie do ataków MITM umożliwia badaczom analizowanie i analizowanie szerokiej gamy protokołów sieciowych i hostów. Może również rejestrować pakiety sieciowe w sieci LAN i innych środowiskach. Ponadto wielozadaniowy analizator ruchu sieciowego może wykrywać i powstrzymywać ataki typu man-in-the-middle.

Kluczowe cechy

  • Przechwytuj ruch sieciowy i przechwytuj poświadczenia, takie jak hasła. Może także odszyfrować zaszyfrowane dane i wyodrębnić poświadczenia, takie jak nazwy użytkowników i hasła.
  • Nadaje się do głębokiego wąchania pakietów, testowania, monitorowania ruchu sieciowego i zapewniania filtrowania treści w czasie rzeczywistym.
  • Obsługuje aktywne i pasywne podsłuchiwanie, analizę i analizę protokołów sieciowych, w tym tych z szyfrowaniem
  • Przeanalizuj topologię sieci i ustal zainstalowane systemy operacyjne.
  • Przyjazny dla użytkownika graficzny interfejs użytkownika z interaktywnymi i nieinteraktywnymi opcjami obsługi GUI
  • wykorzystuje techniki analizy, takie jak przechwytywanie ARP, filtrowanie adresów IP i MAC oraz inne do przechwytywania i analizowania ruchu

Zapobieganie atakom MITM

Identyfikacja ataków MITM nie jest łatwa, ponieważ dzieje się to z dala od użytkowników i jest trudna do wykrycia, ponieważ atakujący sprawiają, że wszystko wygląda normalnie. Istnieje jednak kilka praktyk bezpieczeństwa, które organizacje mogą stosować, aby zapobiegać atakom typu man-in-the-middle. Obejmują one;

  • Zabezpiecz połączenia internetowe w pracy lub sieciach domowych, na przykład stosując skuteczne rozwiązania i narzędzia bezpieczeństwa na serwerach i komputerach, niezawodne rozwiązania uwierzytelniające
  • Wymuszanie silnego szyfrowania WEP/WAP dla punktów dostępowych
  • Upewnienie się, że wszystkie odwiedzane witryny są bezpieczne i mają HTTPS w adresie URL.
  • Unikaj klikania podejrzanych e-maili, wiadomości i linków
  • Wymuś HTTPS i wyłącz niezabezpieczone protokoły TLS/SSL.
  • W miarę możliwości korzystaj z wirtualnych sieci prywatnych.
  • Używanie powyższych narzędzi i innych rozwiązań HTTP do identyfikowania i eliminowania wszystkich luk typu man-in-the-middle, które mogą wykorzystać atakujący.