問題タブ [man-in-the-middle]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

216 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
3920 参照

ssl - TLS ハンドシェイク中の中間者攻撃の可能性

ここここ、および他のいくつかの場所で、同じトピックに関する以前の議論を読みました。TLS 通信の過程で MiTM がまったく不可能であることは理解していますが、TLS ハンドシェイク中に MiTM 攻撃の可能性はどのくらいですか?

キーを確立する前に送信される TLS クライアント ハロー、サーバー ハロー、および次のパケットは暗号化できないことを認識しています。キーを確立するために、TLS は Diffie Hellman プロトコルを使用します。では、従来の中間者攻撃はここでも機能しますか?

0 投票する
0 に答える
313 参照

ios - WebView HTTPS リダイレクト / MITM 調査

私は、WebView / Hybrid Apps に焦点を当てた iOS および Android に関する MITM 研究論文を作成しています。これは私のテスト設定です:

  • WIFIホットスポットを開く
  • WIFI 上の iOS および Android デバイス
  • WIFI で Apache プロキシを使用する Linux マシン
  • Linux マシンを介してすべてのトラフィックをパイプするための ICMP リダイレクト (DoubleDirect)、DNS、または転送
  • www.example.com の場合、信頼できる CA からの有効な証明書があります

ユーザーがハイブリッドアプリで何も気付かずに、https ://www.facebook.com/ への WebView リクエストを自分のサイトhttps://www.example.com/にリダイレクトしたいと考えています。

これが可能な場合、どうすればそれを行うことができますか?

0 投票する
1 に答える
108 参照

wcf - WCF は FREAK 攻撃の影響を受けますか?

FREAKと名付けられた新しい攻撃があります

WCF は FREAK 攻撃の影響を受けますか?

この質問から理解したように、WCF で許可された暗号をプログラムで指定する方法はありません。

0 投票する
4 に答える
846 参照

ssl - ユーザーが故意に https サーバー証明書エラーをバイパスしたことを検出する

ユーザーがセキュリティ証明書を意図的にバイパスしたことを検出できるようにする、サーバー上の https ヘッダーまたはブラウザーの JavaScript メソッド、またはこの種の状況を検出して報告する他の方法はありますか? (Linux / Apache / jQuery を使用しています。)

Web には、日常的に警告をスキップする方法がたくさんありますが、ユーザーが警告をスキップするタイミングを検出する方法を 1 つも見つけることができませんでした。それは、ユーザーの 70% ができるだけ早く警告をスキップするという恐ろしい統計だけです。(彼らはそれをどのように測定しますか?)

教師がテストを作成および管理できるようにする Web アプリケーションを運用しています。教師は許可されていない WiFi ネットワークに接続し、証明書が無効であるという警告を受け取り、ブラウザーの「とにかく受け入れる」機能をクリックして、認証されていない証明書を持っているにもかかわらず、私たちのアプリケーションにアクセスできるようにしています。これがどのくらいの頻度で発生し、誰がそれを行っているかを理解し、停止に向けて前進したいと考えています。

独自の証明書を使用して、独自のサーバーを介してリクエストをプロキシする学校があることに注意してください。これで問題ありません。測定および軽減したいのは、「無視してとにかく接続する」接続です。学生は、自分の CA にアクセスできずにセットアップを行っていますが、怠惰なユーザーには十分なアクセス権があります。

0 投票する
1 に答える
345 参照

security - https のデータを暗号化する必要はありませんか?

中間者プロキシを使用して、Android モバイルからの Web トラフィックを監視していました。この一環として、(サーバーによって署名された) 証明書をモバイルにインストールしたところ、すべてのアプリケーションがパスワードなどの機密情報をクリア テキストとして送信していることがわかりました。

SSL プロトコルによって安全な通信が確立されることは理解していますが、データを暗号化する必要はありませんか?

0 投票する
1 に答える
724 参照

sockets - Ettercap TCP パケット タイプ

私の質問がばかげているように見えて申し訳ありませんが、TCP パケットをスニッフィングするときに、Ettercap のパケット トランザクションの詳細の横に書かれている文字の意味を理解したいと思います。たとえば、次のようになります。

行末の「A」文字 ( | A) の意味は何ですか?

さまざまなメッセージでさまざまな文字を見てきましたが、意味がわかりません

等々。インターネットで検索しましたが、これに関するドキュメント (および一般的な Ettercap に関するドキュメント) が見つかりません。それらの意味を説明するか、説明されているリンクを提供してもらえますか?

ありがとうございました!

0 投票する
1 に答える
12670 参照

https - squid ssl-bump 3.5.4: エラー - FD 10 での SSL 接続のネゴシエーション エラー: 成功 (0)

squid 3.5.4 (debian 8 を実行している docker 上) をインストールし、ssl-bump モードで実行しようとしています。コンパイル:

変更された構成 (squid.conf) (残りはデフォルト):

生成された証明書:

squid certs dir を生成し、所有権を変更します。

CA ルート証明書はデフォルト パスに存在します

HTTP CONNECT を使用してこの構成をテストし、ブラウザで直接プロキシを構成しています。

問題:

ブラウザのリクエストがプロキシにヒットすると、次のエラーが発生します

2015/05/04 15:13:46.468 キッド1| FD 10 での SSL 接続のネゴシエーション エラー: 成功 (0)

curl リクエストを送信すると、次のようになります。

誰でもこれを手伝ってもらえますか?


12345678910