根據this post,我瞭解到攻擊者操縱非SSL表單傳輸給受害者的理論可能性;任何人都可以清楚說明這種操縱可能發生在IRL上嗎?包括所需工具集的逐步示例將是理想的。MITM針對非SSL表單發佈至SSL的攻擊
4
A
回答
7
1
是的,MITM攻擊是可能的。但在這種情況下,用戶會收到警告,證明無法爲受尊敬的站點驗證證書。
這裏就怎麼做教程:
2
- 瀏覽器dowloads使用HTTP的形式。
- 表單由攻擊者在傳輸過程中進行修改,該攻擊者將HTTPS回發地址更改爲其自己的URL。
- 一旦用戶準備好提交表單,將建立到服務器的HTTPS連接。
- 由於攻擊者修改了URL地址,用戶將嘗試連接到攻擊者。
- 攻擊者的服務器將發送一個證書進行身份驗證。
- 通常,瀏覽器不會信任證書,瀏覽器會提醒您。
- 用戶必須按取消否則數據將提交給攻擊者。
還有另一種情況。 - 攻擊者擁有由可信實體簽名的證書。
- 此時瀏覽器不會警告用戶,攻擊者將獲得表單數據。
如果這次攻擊取得成功取決於用戶的「受教育程度」。
相關問題
- 1. 如何提供MITM攻擊的有效SSL證書?
- 2. 驗證SSL證書對MITM
- 3. ruby SSL代理(MITM)
- 4. HTTPS和MITM攻擊
- 5. Exchange 2010 MITM攻擊
- 6. 保護tomcat 6 apr針對BEAST攻擊的SSL
- 7. 需要幫助防止DV的BEAST攻擊SSL SSL
- 8. Android防止人爲攻擊SSL中間人攻擊
- 9. SSL和Man在中間攻擊
- 10. OpenSSL庫可以針對電壓攻擊進行修復,也可以是SSL庫?
- 11. iframe非SSL網站上的SSL安全表單
- 12. 如何保護WebRTC免受MitM攻擊?
- 13. 保護iOS應用再次MITM攻擊
- 14. 保護ECDH免受MITM攻擊
- 15. SSL對這些形式的攻擊是否安全?
- 16. 如何使用SSL從非SSL頁面提交表單?
- 17. 重定向SSL非SSL
- 18. SMTP端口 - SSL vs非SSL
- 19. PHP:發佈到SSL - 澄清?
- 20. 在ASP.NET MVC 1.0中的SSL表單發佈
- 21. apache虛擬主機SSL +非SSL
- 22. 重定向www ssl到非www ssl nginx
- 23. 將ssl重定向到非ssl
- 24. 會話從SSL轉移到非SSL
- 25. socat - 如何監聽非ssl TCP並轉發到ssl TCP端點?
- 26. 通過.htaccess從非ssl發送到ssl域RewriteRule
- 27. 針對.NET DataView的注入攻擊RowFilter
- 28. 針對EXTRA_SPEECH_INPUT_COMPLETE_SILENCE_LENGTH_MILLIS的黑客攻擊?
- 29. 針對WPF應用程序的攻擊
- 30. Nginx的 - 重定向非ssl&非www到ssl&www
感謝這堆。從您發佈的內容來看,問題與從非安全頁面發佈到安全頁面無關;它實際上是一個更一般的SSL漏洞,對吧?你能建議任何預防技巧嗎? – ceej23