作者CMJ0121 (不要偷 Q)
看板NetSecurity
標題Re: [閒聊] 2018-M03 MITM (短篇)
時間Tue Aug 7 22:06:52 2018
自己的文自己回
最近遇到一個有趣的 MITM (?) 的例子
使用者透過瀏覽器登入網站 發送的 RESTful API 的特定 response
都會被替換掉內容 !!
舉個例子來看 使用者發送的
https://example.com/resources/resource 的 API
網站收到的是 application/json 的回傳格式 內容是
{
"address" :
"0x123456789ABCDEF"
}
但是在使用者的環境 都拿到固定的
0x111111111111111
在還沒碰觸到使用者機器的情況之下 該如何解決通靈的問題呢 XD
檢查過系統後台的 DB 確定 address 並沒有在真實資料庫中
隔空抓藥有以下三種可能性:
- 使用者被 MITM (Man-in-the-middle) 攻擊
- 使用者連上釣魚網站 (phashing)
- 使用者的 DNS 被竄改 (DNS Spoofing)
其中
MITM 可以透過 1) 在系統安裝 mitmproxy 並且 2) 安裝惡意的 Root CA
釣魚網站則可以透過 Cyrillic alphabets 讓使用者連到釣魚網站
DNS 竄改則是直接將目標網站導向到釣魚網站
~ 以下開放更多隔空抓藥 ~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1533650815.A.3E9.html
※ 編輯: CMJ0121 (106.1.224.240), 08/07/2018 22:08:57
1F:推 now99: xd 08/10 08:46
2F:→ CMJ0121: 話說換了新工作之後 更少碰到資安事件了... QQ 08/16 22:52
3F:→ skycat2216: Tor有封包上的漏洞,被利用後可調至釣魚網站(裝肖維 08/20 09:21