[ djelincic @ 04.12.2015. 05:44 ] @
vezano uz projekt na kojemu radim s kolegom, napravio sam web shop i instalirao domain rapidssl certifikat. Kako sam ssl certifikat ne štiti stranicu od raznih napada, već samo omogućava zaštitu komunikacije od klijenta do servera, ispada da samo ovom vrstom napada ( man in the middle ) mogu testirat funkcionalnost certifikata?


Znači trebao bi demonstrirat i simulirat napad na svoj web shop tj. na https protokol i ukazat kako certifikat štiti, tj. da nije moguće „man in the middle“ napadom doći do upisanih podataka (username i password). To mi je palo na pamet na temelju nekih „starih“ video-primjera iz 2013. gdje se sslstrip-om uspjelo proći kroz https, pa pretpostavljam da su ti bugovi ispravljeni.


Znači u simulaciji bi se pokušao ulogirat na dvije stranice, prvo na svoj shop koji koristi https protokol i zatim na neku random http stranicu, i tada bi na terminalu trebalo izbacit samo podatke pokušaja logiranja na stranicu sa http protokolom.


Ako ovo nije jednostavno za napravit ili nije moguce, volio bi cuti Vaš savjet vezano uz simulaciju sigurnosti/nesigurnosti http i https protokola, link na neki turorijal kako izvest, s kojim alatom (VMware virtual machines, Ettercap) a da je izvedivo sa xp ili win7. nešto slično 0x4553-intercepter mozda

postoji li neki drugi način testiranja funkcionalnosti ssl certifikata simulacijom(video tutorijalom)?


lp
[ djelincic @ 04.12.2015. 17:50 ] @
Evo da još jednom što bolje pojasnim, ako nisam bio dovoljno jasan.

Znači trebam posnifat promet (logiranje na stranicu) sa svoje stranice koja ima ssl certifikat, i da se pritom vidi da su username i pasword enkriptirani (time se pokazuje funkcionalnost certifikata), a da snifanjem neke random stranice koja koristi http protokol, vidim username i pass u običnom tekstu.

Molio bi vas za neki tutorial na youtubu, da vidim kako to napravit, a da se ovaj (man in the middle napad) može izvest na win.

lp
[ vinted @ 06.12.2015. 16:08 ] @
nema potrebe da provreaš. https je osiguran (trenutno) od MITM napada, u smislu da ne mogu da se nadju username i password, tako da nemaš razloga za brigu.