作者CMJ0121 (不要偷 Q)
看板NetSecurity
标题Re: [闲聊] 2018-M03 MITM (短篇)
时间Tue Aug 7 22:06:52 2018
自己的文自己回
最近遇到一个有趣的 MITM (?) 的例子
使用者透过浏览器登入网站 发送的 RESTful API 的特定 response
都会被替换掉内容 !!
举个例子来看 使用者发送的
https://example.com/resources/resource 的 API
网站收到的是 application/json 的回传格式 内容是
{
"address" :
"0x123456789ABCDEF"
}
但是在使用者的环境 都拿到固定的
0x111111111111111
在还没碰触到使用者机器的情况之下 该如何解决通灵的问题呢 XD
检查过系统後台的 DB 确定 address 并没有在真实资料库中
隔空抓药有以下三种可能性:
- 使用者被 MITM (Man-in-the-middle) 攻击
- 使用者连上钓鱼网站 (phashing)
- 使用者的 DNS 被窜改 (DNS Spoofing)
其中
MITM 可以透过 1) 在系统安装 mitmproxy 并且 2) 安装恶意的 Root CA
钓鱼网站则可以透过 Cyrillic alphabets 让使用者连到钓鱼网站
DNS 窜改则是直接将目标网站导向到钓鱼网站
~ 以下开放更多隔空抓药 ~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.1.224.240
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1533650815.A.3E9.html
※ 编辑: CMJ0121 (106.1.224.240), 08/07/2018 22:08:57
1F:推 now99: xd 08/10 08:46
2F:→ CMJ0121: 话说换了新工作之後 更少碰到资安事件了... QQ 08/16 22:52
3F:→ skycat2216: Tor有封包上的漏洞,被利用後可调至钓鱼网站(装肖维 08/20 09:21