問題タブ [man-in-the-middle]

MITM プロキシを実装したいと考えています。

クライアントから https リクエストを受け取り、それらを復号化し、事前に記録されたレスポンスを返す必要があります。

これは、プロキシがリモート サーバーに直接接続されていないことを意味します。FiddlerCore が MITM をサポートしていることは知っていますが、私のシナリオでどのように使用できますか?

ありがとう

私はこれで少し無力になっています。localhost からリモートホスト (HTTPS だけでなく!) への任意の SSL ストリームで MITM を実行できるツールが必要です。すべてのアプリは SSL==HTTPS という傾向に従っているように見えるため、そのようなアプリケーションを検索するのはかなり難しい作業のようです。私のアプリケーションは証明書を信頼しているので、それは問題ではありません。HTTPS の場合、Proxifier + Charles Debugging Proxy を使用します。ただし、Charles は HTTPS のみをキャプチャでき、バイナリ SSL 暗号化データはキャプチャできません。

データの流れをどう想像するか。最良のケース: Application->MITM_PROXY->Server または: Application->Proxifier->MITM_PROXY->Server

これまでのところ、この組み合わせは 1 つしか機能していなかったと思います。仮想化 Linux 上の SSLSplit + 仮想化 Windows で、アプリケーションとデフォルト ゲートウェイがその Linux に設定されています。ご想像のとおり、これは非常に不便です。また、SSLSplit は recv と send の両方を 1 つのファイルに記録するため、バイナリ ストリームで問題が発生する可能性があります (対処できると思います)。

何かアドバイスはありますか？

IP A には自己署名証明書を持つ HTTPS サーバーがあり、IP B には https クライアントがあります。サーバーは、IPTABLES で IP B からのアクセスのみを許可します。正しいドメイン名と IP (ローカル ホスト ファイルで定義) を持つクライアント アクセス サーバー。

これは安全なパターンですか？パブリック IP を持つ 2 つのホスト間のリモート プロシージャ コールにこのパターンを使用したいと考えています。セキュリティ上の問題はありますか。中間者攻撃を防ぐことはできますか?

I'm trying to create a PHP webpage that allow the visitor to see a video stream or an image coming from a webcam without allowing the visitors to grab it's original URL/URI. In other words, I have an ip camera operating at a given address:port and I can see the stream embedding in a HTML body something like this:

or alternatively if we want a static image:

Now the problem is that if anyone look at the HTML code behind the page will see the URL of the camera along with its user/password credentials, obviously. This allow the visitor to connect to the camera at any time even without having to go on the page that is hosting this service, they just need to type into any browser to the URL

I don't want that the user is able to do that. So I had an idea: If I'm able to wrap the stream into a php webpage acting as a 'man-in-the-middle' I can give the visitor the video without letting them know the original source. The original IP:PORT will be visible only from my server. Obviously they will always be able to use the URL of my webpage but they will never see the user/password of the camera and I can lock the service out at any time. Furthermore to improve security I can setup the router hosting the webcam to accept connections coming from my webserver only. This will act as a stealth against malicious users attempting to connect directly to the webcabm. What can I do on the server-side to obtain this behaviour?

私は最近、セッション Cookie と、中間者攻撃によってそれらがどのようにハイジャックされるかについて読んでいます。これは主に、クライアントと Web サーバー間の暗号化されていない接続で可能であるようです。

ただし、暗号化されていない接続の「途中」にある場合、プレーンテキストで送信する必要があるユーザー名とパスワード (より価値のあるリソース) の代わりに Cookie をキャプチャすることを好む理由がわかりません。

私は、いくつかのブロードキャストで特定のアクションを起動し、アクティビティを開始し、残りのことを行うためにセカンダリデフォルトアプリを起動する中間者アプリのようなものを実装しようとしています.

例えば：

1. Facebook (Web リンクをクリック) -> MyApp (「開始 Web ページ」という通知を追加) -> Chrome/Firefox
2. 着信 SMS -> MyApp (2 分ごとにサウンド リマインダーを設定) -> ハングアウト/その他の SMS アプリ

ブロードキャストレシーバーを使用できることはわかっていますが、ほとんどのアプリがブロードキャストを中止し、それらが伝播しないことを発見しました。

MyApp をデフォルトのアプリとして設定し、その中で 2 番目に優先するアプリを設定して目標を達成したいと考えています。問題は、システムに複数の SMS アプリが存在する可能性があるため、ハングアウトなどのセカンダリ アプリにのみブロードキャストを送信する方法から始まります。

次のFlask RESTful Destroy User Tokenでは、Flask トークンを破棄する方法について説明していますが、これは中間者攻撃を防ぐものではありません。有効期限が切れる前にトークンがアクティブでなくなるように、トークンを無効にする方法はありますか?

私は現在、自分の電話を被害者として使用し、ubuntu 14.04LTS を実行している PC を攻撃者として使用している中間者攻撃の敵のデモに取り組んでいます。nmap を使用して電話に ping を実行し、オンラインかどうかを確認しています...

しかし、同じネットワーク上の電話でも結果が得られる方法がわからない..

だから私は -Pn も試しましたが、出力は同じままです (ホストはダウンしているようです)。電話は稼働中です...ネットワーキングに慣れていないので、何が間違っているのでしょうか???