4
根据this post,我了解到攻击者操纵非SSL表单传输给受害者的理论可能性;任何人都可以清楚说明这种操纵可能发生在IRL上吗?包括所需工具集的逐步示例将是理想的。MITM针对非SSL表单发布至SSL的攻击
A
回答
7
1
是的,MITM攻击是可能的。但在这种情况下,用户会收到警告,证明无法为受尊敬的站点验证证书。
这里就怎么做教程:
2
- 浏览器dowloads使用HTTP的形式。
- 表单由攻击者在传输过程中进行修改,该攻击者将HTTPS回发地址更改为其自己的URL。
- 一旦用户准备好提交表单,将建立到服务器的HTTPS连接。
- 由于攻击者修改了URL地址,用户将尝试连接到攻击者。
- 攻击者的服务器将发送一个证书进行身份验证。
- 通常,浏览器不会信任证书,浏览器会提醒您。
- 用户必须按取消否则数据将提交给攻击者。
还有另一种情况。 - 攻击者拥有由可信实体签名的证书。
- 此时浏览器不会警告用户,攻击者将获得表单数据。
如果这次攻击取得成功取决于用户的“受教育程度”。
相关问题
- 1. 如何提供MITM攻击的有效SSL证书?
- 2. 验证SSL证书对MITM
- 3. ruby SSL代理(MITM)
- 4. HTTPS和MITM攻击
- 5. Exchange 2010 MITM攻击
- 6. 保护tomcat 6 apr针对BEAST攻击的SSL
- 7. 需要帮助防止DV的BEAST攻击SSL SSL
- 8. Android防止人为攻击SSL中间人攻击
- 9. SSL和Man在中间攻击
- 10. OpenSSL库可以针对电压攻击进行修复,也可以是SSL库?
- 11. iframe非SSL网站上的SSL安全表单
- 12. 如何保护WebRTC免受MitM攻击?
- 13. 保护iOS应用再次MITM攻击
- 14. 保护ECDH免受MITM攻击
- 15. SSL对这些形式的攻击是否安全?
- 16. 如何使用SSL从非SSL页面提交表单?
- 17. 重定向SSL非SSL
- 18. SMTP端口 - SSL vs非SSL
- 19. PHP:发布到SSL - 澄清?
- 20. 在ASP.NET MVC 1.0中的SSL表单发布
- 21. apache虚拟主机SSL +非SSL
- 22. 重定向www ssl到非www ssl nginx
- 23. 将ssl重定向到非ssl
- 24. 会话从SSL转移到非SSL
- 25. socat - 如何监听非ssl TCP并转发到ssl TCP端点?
- 26. 通过.htaccess从非ssl发送到ssl域RewriteRule
- 27. 针对.NET DataView的注入攻击RowFilter
- 28. 针对EXTRA_SPEECH_INPUT_COMPLETE_SILENCE_LENGTH_MILLIS的黑客攻击?
- 29. 针对WPF应用程序的攻击
- 30. Nginx的 - 重定向非ssl&非www到ssl&www
感谢这堆。从您发布的内容来看,问题与从非安全页面发布到安全页面无关;它实际上是一个更一般的SSL漏洞,对吧?你能建议任何预防技巧吗? – ceej23