通常、mitmでトラフィックをインターセプトするには2つの異なるオプションがあります。
攻撃者がアクセスするWebリソースへのアクセスを取得します。 承認の瞬間をつかみ、ログインとパスワードをクリアテキストで取得することをお勧めします。これにより、いつでもこのリソースにアクセスできるようになります。
2番目の最も優先度の低いオプションは、既にアクティブなセッションのCookieをインターセプトすることです。ログインとパスワードは受け取りませんが、
ただし、ブラウザでこれらのCookieを置き換えて、セッション中はリソースにアクセスできます。
2番目の方法の欠点は明らかであり、かなり簡単な手順でそれらを排除できます。 なぜなら 攻撃者は被害者のトラフィックを完全に制御できるため、被害者のCookieを強制的に「期限切れ」にすることができます。これにより、許可ページに移動します。
作業の論理は次のとおりです。 攻撃が開始された後、クライアントからサーバーに送信されたCookieが監視されます。
サーバーからのCookieは、インストールされるとすぐにホワイトリストに登録されます。 ホワイトリストにないクライアントからのCookieが満たされると、HTTP応答が送信され、転送されたすべてのCookieが次のようにリセットされます。
Set-Cookie:%cookiename%=; パス= /; ドメイン=%ドメイン%; 有効期限=木、2000年1月1日00:00:01 GMT
成功した場合(異なるリソースとブラウザーは異なる方法でCookieを処理できます)、それらは認証ページにリダイレクトされます。 リセットCookieはホワイトリストに登録され、その後静かにスキップされます。 リソースへの2回目の呼び出しの後、ギャップはもう発生しません。
このアイデアはsslstripユーティリティから借用したもので、他の参照や実装は見つかりませんでした。
説明された「クッキーキラー」はIntercepter-NG 0.9.5に登場しました。作業のデモは次のビデオで紹介されています。
Cookieキラーに加えて、一部のホストを他のホストから分離するためのARP「セル」であるDNSスプーフィングが新しいバージョンに登場しました。
新しいWireshark形式のサポート-pcapngなど プロジェクトWebサイトの追加情報。
MiTMでのHTTPセッションの強制中断
All Articles