MITM针对非SSL表单发布至SSL的攻击
问题描述:
根据this post,我了解到攻击者操纵非SSL表单传输给受害者的理论可能性;任何人都可以清楚说明这种操纵可能发生在IRL上吗?包括所需工具集的逐步示例将是理想的。MITM针对非SSL表单发布至SSL的攻击
答
是的,MITM攻击是可能的。但在这种情况下,用户会收到警告,证明无法为受尊敬的站点验证证书。
这里就怎么做教程:
答
- 浏览器dowloads使用HTTP的形式。
- 表单由攻击者在传输过程中进行修改,该攻击者将HTTPS回发地址更改为其自己的URL。
- 一旦用户准备好提交表单,将建立到服务器的HTTPS连接。
- 由于攻击者修改了URL地址,用户将尝试连接到攻击者。
- 攻击者的服务器将发送一个证书进行身份验证。
- 通常,浏览器不会信任证书,浏览器会提醒您。
- 用户必须按取消否则数据将提交给攻击者。
还有另一种情况。 - 攻击者拥有由可信实体签名的证书。
- 此时浏览器不会警告用户,攻击者将获得表单数据。
如果这次攻击取得成功取决于用户的“受教育程度”。
感谢这堆。从您发布的内容来看,问题与从非安全页面发布到安全页面无关;它实际上是一个更一般的SSL漏洞,对吧?你能建议任何预防技巧吗? – ceej23