6 HTTP MITM-angrebsværktøjer til sikkerhedsforskere

Af
Tweet
Share
Share
Pin

Et man-in-the-middle (MITM)-angreb er, når en dårlig skuespiller afbryder en etableret netværkssamtale eller dataoverførsel. Angriberen sidder midt på overførselsvejen og foregiver eller fungerer som en legitim deltager i samtalen.

I praksis placerer angriberne sig mellem indgående anmodninger og udgående svar. Som bruger vil du fortsætte med at tro, at du taler direkte til den legitime destinationsserver eller webapplikation, såsom Facebook, Twitter, netbank og andre. Men i virkeligheden vil du sende anmodninger til manden i midten, som så taler med din bank eller app på dine vegne.

Billede af Imperva

Som sådan vil manden i midten se alt, inklusive alle dine anmodninger og svar, du får fra destinations- eller målserveren. Udover at se hele samtalen kan manden i midten ændre dine anmodninger og svar, stjæle dine legitimationsoplysninger, dirigere dig til en server, de kontrollerer, eller udføre anden cyberkriminalitet.

Generelt kan angriberen opsnappe kommunikationsstrømmen eller data fra begge parter i samtalen. Angriberen kan derefter ændre oplysningerne eller sende ondsindede links eller svar til begge legitime deltagere. I de fleste tilfælde kan dette forblive uopdaget i nogen tid, indtil senere efter en masse skader.

Almindelige man-in-the-middle-angrebsteknikker

Pakkesnifning: – Angriberen bruger forskellige værktøjer til at inspicere netværkspakkerne på et lavt niveau. Sniffningen giver angribere mulighed for at se datapakker, de ikke har tilladelse til at få adgang til.

Pakkeinjektion: – hvor angribere injicerer ondsindede pakker i datakommunikationskanalerne. Før indsprøjtning vil de kriminelle først bruge sniffning til at identificere, hvordan og hvornår de skal sende de ondsindede pakker. Efter injektion blandes de dårlige pakker med de gyldige i kommunikationsstrømmen.

Sessionskapring: I de fleste webapplikationer opretter login-processen et midlertidigt sessionstoken, så brugeren ikke behøver at blive ved med at indtaste adgangskoden til hver side eller enhver fremtidig anmodning. Desværre kan en hacker, der bruger forskellige sniffing-værktøjer, identificere og bruge sessionstokenet, som de nu kan bruge til at fremsætte anmodninger, der foregiver at være den legitime bruger.

SSL-stripping: Angribere kan bruge SSL-tripping-teknikken til at opsnappe de legitime pakker, ændre de HTTPS-baserede anmodninger og dirigere dem til den usikre HTTP-ækvivalente destination. Følgelig vil værten begynde at lave en ukrypteret anmodning til serveren og afsløre følsomme data som almindelig tekst, der er let at stjæle.

  Sådan tilføjer du billedtekster til billeder og videoer på iPhone og iPad

Konsekvenser af MITM-angreb

MITM-angreb er farlige for enhver organisation, og da de kan resultere i økonomiske tab og omdømmetab.

Normalt kan de kriminelle indhente og misbruge organisationens følsomme og private oplysninger. For eksempel kan de stjæle legitimationsoplysninger såsom brugernavne og adgangskoder, kreditkortoplysninger og bruge dem til at overføre penge eller foretage uautoriserede køb. De kan også bruge stjålne legitimationsoplysninger til at installere malware eller stjæle andre følsomme oplysninger – som de kan bruge til at afpresse virksomheden.

Af denne grund er det afgørende at beskytte brugerne og de digitale systemer for at minimere risikoen for MITM-angreb.

MITM-angrebsværktøjer til sikkerhedsteams

Udover at bruge pålidelige sikkerhedsløsninger og -praksis skal du bruge de nødvendige værktøjer til at tjekke dine systemer og identificere sårbarheder, som angribere kan udnytte. For at hjælpe dig med at træffe det rigtige valg er her nogle af HTTP MITM-angrebsværktøjerne til sikkerhedsforskere.

Hetty

Hetty er et hurtigt open source HTTP-værktøjssæt med kraftfulde funktioner til at understøtte sikkerhedsforskere, teams og bug bounty-fællesskabet. Det lette værktøj med en indlejret Next.js-webgrænseflade omfatter en HTTP-mand i den midterste proxy.

Nøglefunktioner

  • Gør det muligt at udføre en fuldtekstsøgning
  • Den har et afsendermodul, der giver dig mulighed for at sende HTTP-anmodninger manuelt baseret på enten deaktiverede anmodninger fra proxyloggen eller ved at oprette dem fra bunden.
  • Et angribermodul, der giver dig mulighed for at sende HTTP-anmodninger automatisk
  • Enkel installation og brugervenlig grænseflade
  • Send HTTP-anmodningerne manuelt ved enten at starte fra bunden, lave anmodningen eller ved blot at kopiere fra proxy-loggen.

Bedre kasket

Bedre kasket er et omfattende og skalerbart netværksrekognoscerings- og angrebsværktøj.

Den brugervenlige løsning giver de omvendte ingeniører, sikkerhedseksperter og røde teams alle funktionerne til at teste eller angribe Wi-Fi, IP4, IP6-netværk, Bluetooth Low Energy (BLE)-enheder og trådløse HID-enheder. Derudover har værktøjet netværksovervågningsfunktioner og andre funktioner såsom oprettelse af falske adgangspunkter, adgangskodesniffer, DNS-spoofer, handshake capture osv.

Nøglefunktioner

  • En kraftfuld indbygget netværkssniffer til identifikation af godkendelsesdata og indsamling af legitimationsoplysninger
  • kraftfuld, udvidelig
  • Undersøg og test aktivt og passivt IP-netværksværter for potentielle MITM-sårbarheder.
  • Nem at bruge og interaktiv webbaseret brugergrænseflade, der giver dig mulighed for at udføre en bred vifte af MITM-angreb, sniffe legitimationsoplysninger, kontrollere HTTP- og HTTP-trafik osv.
  • Udtræk alle de data, den indsamler, såsom POP-, IMAP-, SMTP- og FTP-legitimationsoplysninger, besøgte URL’er og HTTPS-værter, HTTP-cookies, HTTP-postede data og mere. Det præsenterer det derefter i en ekstern fil.
  • Manipuler eller modificer TCP-, HTTP- og HTTPS-trafikken i realtid.
  Sådan opdaterer du Nintendo Switch-spil

Proxy.py

Proxy.py er en let open source WebSockets, HTTP, HTTPS og HTTP2 proxyserver. Det hurtige værktøj, som er tilgængeligt i en enkelt python-fil, gør det muligt for forskere at inspicere webtrafik, inklusive TLS-krypterede apps, mens det bruger minimale ressourcer.

Nøglefunktioner

  • Det er et hurtigt og skalerbart værktøj, der kan håndtere titusindvis af forbindelser i sekundet.
  • Programmerbare funktioner såsom en indbygget webserver, proxy og HTTP-routingtilpasning osv
  • Den har et letvægtsdesign, der bruger 5-20 MB RAM. Den er også afhængig af standard Python-biblioteker og kræver ingen eksterne afhængigheder.
  • Et dashboard, der kan tilpasses i realtid, som du kan udvide ved hjælp af plugins. Det giver dig også mulighed for at inspicere, overvåge, konfigurere og kontrollere proxy.py under kørsel.
  • Det sikre værktøj bruger TLS til at levere end-to-end-kryptering mellem proxy.py og klienten.

Mitmproxy

Det mitmproxy er en brugervenlig, open source HTTPS proxy-løsning.

Generelt fungerer værktøjet, der er nemt at installere, som en SSL-man-in-the-middle HTTP-proxy og har en konsolgrænseflade, der giver dig mulighed for at inspicere og ændre trafikstrømmen på farten. Du kan bruge det kommandolinjebaserede værktøj som en HTTP- eller HTTPS-proxy til at registrere al netværkstrafik, se, hvad brugerne anmoder om og afspille dem igen. Normalt refererer mitmproxy til et sæt af tre kraftfulde værktøjer; mitmproxy (konsolgrænseflade), mitmweb (webbaseret grænseflade) og mitmdump (kommandolinjeversion).

Nøglefunktioner

  • Interaktivt og pålideligt HTTP-trafikanalyse- og modifikationsværktøj
  • Et fleksibelt, stabilt, pålideligt, nemt at installere og bruge værktøj
  • Giver dig mulighed for at opsnappe og ændre HTTP- og HTTPS-anmodninger og -svar på farten
  • Optag og gem samtalerne på HTTP-klientsiden og serversiden, og afspil og analyser dem derefter i fremtiden
  • Generer SSL/TLS-certifikaterne for at opsnappe på farten
  • Reverse proxy-funktioner giver dig mulighed for at videresende netværkstrafikken til en anden server.

Bøvse

Bøvse er et automatiseret og skalerbart sårbarhedsscanningsværktøj. Værktøjet er et godt valg for mange sikkerhedsprofessionelle. Generelt giver det forskerne mulighed for at teste webapplikationer og identificere sårbarheder, som kriminelle kan udnytte og iværksætte MITM-angreb.

Den bruger en brugerdrevet arbejdsgang til at give et direkte overblik over målapplikationen, og hvordan den fungerer. Burp fungerer som en webproxyserver og sidder som manden i midten mellem webbrowseren og destinationsserverne. Følgelig giver dette dig mulighed for at opsnappe, analysere og ændre anmodnings- og svartrafikken.

  Sådan aktiverer og tilpasser du undertekster på Disney+

Nøglefunktioner

  • Opsnappe og inspicere den rå netværkstrafik i begge retninger mellem webbrowseren og serveren
  • Bryder TLS-forbindelsen i HTTPS-trafik mellem browseren og destinationsserveren og giver dermed angriberen mulighed for at se og ændre krypterede data
  • Vælg mellem at bruge den indlejrede Burps-browser eller den eksterne standardwebbrowser
  • Automatiseret, hurtig og skalerbar sårbarhedsscanningsløsning, den giver dig mulighed for at scanne og teste webapplikationer hurtigere og effektivt og dermed identificere en bred vifte af sårbarheder
  • Vis individuelle opsnappede HTTP-anmodninger og -svar
  • Gennemgå manuelt den opsnappede trafik for at forstå detaljerne i et angreb.

Ettercap

Ettercap er en open source-netværkstrafikanalysator og interceptor.

Det omfattende MITM-angrebsværktøj giver forskere mulighed for at dissekere og analysere en lang række netværksprotokoller og værter. Det kan også registrere netværkspakkerne på et LAN og andre miljøer. Ydermere kan multi-purpose netværkstrafikanalysatoren registrere og stoppe man-in-the-middle-angreb.

Nøglefunktioner

  • Opsnappe netværkstrafik og indhente legitimationsoplysninger såsom adgangskoder. Det kan også dekryptere krypterede data og udtrække legitimationsoplysninger såsom brugernavne og adgangskoder.
  • Velegnet til dyb pakkesnifning, test, overvågning af netværkstrafik og levering af indholdsfiltrering i realtid.
  • Understøtter aktiv og passiv aflytning, dissekere og analyser af netværksprotokoller, inklusive dem med kryptering
  • Analyser en netværkstopologi og opret de installerede operativsystemer.
  • Brugervenlig grafisk brugergrænseflade med interaktive og ikke-interaktive GUI-betjeningsmuligheder
  • anvender analyseteknikker såsom ARP-aflytning, IP- og MAC-filtrering og andre til at opsnappe og analysere trafik

Forebyggelse af MITM-angreb

At identificere MITM-angreb er ikke særlig let, da det sker væk fra brugerne, og det er svært at opdage, da angribere får alt til at se normalt ud. Der er dog adskillige sikkerhedsmetoder, som organisationer kan bruge til at forhindre man-in-the-middle-angreb. Disse omfatter;

  • Sikre internetforbindelserne på arbejde eller hjemmenetværk, f.eks. ved at bruge effektive sikkerhedsløsninger og værktøjer på dine servere og computere, pålidelige godkendelsesløsninger
  • Håndhæver stærk WEP/WAP-kryptering for adgangspunkterne
  • Sikring af, at alle de websteder, du besøger, er sikre og har HTTPS i URL’en.
  • Undgå at klikke på mistænkelige e-mails og links
  • Håndhæv HTTPS og deaktiver usikre TLS/SSL-protokoller.
  • Brug virtuelle private netværk, hvor det er muligt.
  • Brug af ovenstående værktøjer og andre HTTP-løsninger til at identificere og adressere alle man-in-the-midten-sårbarheder, som angribere kan udnytte.