ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
24.02.2016, 14:40
|
|
Guest
Сообщений: n/a
Провел на форуме:
3744
Репутация:
1
|
|
Доброго времени суток, форумчане!) Заранее прошу простить модераторов, если не в той теме выложил.
Решил потестить фейки с подменой днс в роутере у себя, и столкнулся с следующей проблемой :
поднимаю днс сервак, прописываю в нем соответствие домен == мой ip, где фейк залит. И столкнулся с такой штукой, как HSTS. Т.е. при попытке перейти на сайт(с машины где прописан мой DNS), который использует HSTS( если был до этого заход на оригинальный сайт) - выдается ошибка и переход рубится на уровне браузера. Если сайт не использует HSTS - то вес нормально. Есть ли какие-то пути обходы данного момента? Премного буду благодарен за разъяснения))
|
|
|
|
24.02.2016, 15:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от che715
che715 said:
↑
Доброго времени суток, форумчане!) Заранее прошу простить модераторов, если не в той теме выложил.
Решил потестить фейки с подменой днс в роутере у себя, и столкнулся с следующей проблемой :
поднимаю днс сервак, прописываю в нем соответствие домен == мой ip, где фейк залит. И столкнулся с такой штукой, как HSTS. Т.е. при попытке перейти на сайт(с машины где прописан мой DNS), который использует HSTS( если был до этого заход на оригинальный сайт) - выдается ошибка и переход рубится на уровне браузера. Если сайт не использует HSTS - то вес нормально. Есть ли какие-то пути обходы данного момента? Премного буду благодарен за разъяснения)) В некторых браузерах, некторые соответствия жёстко прописаны , и они такому виду аттаки не потдаются. однако может быть другая ситуация. что пользователь специально указывает https . Неторые сайты редиректят на https. Вариантов тьма
|
|
|
|
24.02.2016, 16:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
3744
Репутация:
1
|
|
HSTS (сокр. от англ.HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовокStrict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP ( http://), т.е тут-то все понятно, гуглить умею))
т.е. проведение атаки, через прописывание в ДНС соответствия домен == ip фейка - невозможно? просто проверял, если почистить систему, и попробовать зайти - все работает, но стоит лишь зайти на оригинал - все перестает работать. Так же знаю, что есть время жизни, после которого нужно вновь зайти на оригинал - и все заработает. Вот как этот момент обыграть?)
|
|
|
|
24.02.2016, 20:24
|
|
Guest
Сообщений: n/a
Провел на форуме:
58477
Репутация:
3
|
|
часто сталкиваюсь с той же хренью. в этом случае даже sslstrip не помогает. правда есть некоторые сайты, на которых это правило в браузере не стоит, например тот же самый вконтакте. кстати, а что будет, если сделать самоподписанный сертификат и создать свой https? тоже окно предупреждения выйдет?
|
|
|
|
25.02.2016, 12:32
|
|
Guest
Сообщений: n/a
Провел на форуме:
3744
Репутация:
1
|
|
искал инфу, в общем приведу дословно, как на соседнем борде порекомендовали попробовать: "
Есть, только там помимо днс, нужно еще squid задействовать. И прозрачно проксировать трафик". Да хоть самоподписанный, хоть купленный - это не поможет... а, по sslstrip и hsts - можно попробовать интерцептор, но, как сам разработчик пишет не для всех случаев и далеко не всегда работает(почитайте автора - там предельно подробно и ясно написано).
|
|
|
|
26.02.2016, 00:06
|
|
Guest
Сообщений: n/a
Провел на форуме:
58477
Репутация:
3
|
|
а можно ли подменить в траффике значение времени активности в STS-заголовке на max-age=1 ? или он тоже зашифрован?
|
|
|
|
26.02.2016, 14:25
|
|
Guest
Сообщений: n/a
Провел на форуме:
3744
Репутация:
1
|
|
Сообщение от 50_Terabytes
50_Terabytes said:
↑
а можно ли подменить в трафике значение времени активности в STS-заголовке на max-age=1 ? или он тоже зашифрован? насчет времени, посоветовал мне один добрый человек, с соседнего борда(правда еще не пробовал) приведу дословно :
"Еще раз, если сайт использует HSTS все способы с iptables/strip*/proxy и т.д
не подойдут, броузер попросту не пустит на сайт чтобы юзер не нажимал, он при всем желании не сможет зайти на сайт )
Проверяется так - curl -s -D- https://domain.com/ | grep Strict
Но есть способ обойти HSTS - машина времени )) NTP сервер который выдаст дату хосту жертве, минимум на год вперед. (флаг HSTS работает год, с последнего посещения сайта юзером).
https://github.com/PentesterES/Delorean/blo...ter/delorean.py - сам NTP который позволяет это сделать. Стандартные демоны NTP, не позволяют сделать шаг влево или вправо от эталонных часов"
кто пробовал так делать, работает?
|
|
|
|
26.02.2016, 14:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
58477
Репутация:
3
|
|
Сообщение от che715
che715 said:
↑
кто пробовал так делать, работает? Неплохая идея, стоит попробовать...
|
|
|
|
26.02.2016, 23:29
|
|
Guest
Сообщений: n/a
Провел на форуме:
471
Репутация:
0
|
|
часто сталкиваюсь с той же хренью
тоже интересно
|
|
|
|
27.02.2016, 13:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
3744
Репутация:
1
|
|
Сообщение от 50_Terabytes
50_Terabytes said:
↑
Неплохая идея, стоит попробовать... у меня со временем пока тяжко, если раньше кто попробует - отпишитесь, ну или я, если раньше опробую - отпишу...
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
