Всем Hi. Недавно решил поспуфить парочку ресурсов и нашел очень интересную методу получения кук всех нужных сайтов.

Теория​Суть сего метода заключается в мини-баге браузеров и не совсем безопасного назначения политики кук.

Допустим у нас есть цель, defcon.ru. Работает он только на https. Однако, еслиобратиться к нему сайту по http, то браузер сольет все данные, а мы легко сможем посмотреть что там внутри.

Рассмотрим на примере. Нам нужно заставить браузер зайти на нужный сайт по http. Делается это без дополнительных трудностей:

http://s020.radikal.ru/i704/1602/5c/82a5c8e4e235.png

Теперь заглянем в head запроса:

http://s011.radikal.ru/i316/1602/c7/20e671a5eb10.png​Как видим, все успешно отправилось до момента установки шифрованного соединения

PoC

В реальной атаке нужно просто подождать пока жертва зайдет на какой-нибудь сайт без SSL'я, проинжектить ответ и заставить браузер обратиться к нужным ресурсам, дальше дело в шляпе. Перехватом заголовков http-запросов занимается любая MiTM тулза.

Defend​Покопавшись в этом деле, я нашел защиту от подобных дел, только ней почти никто не пользуется. Можно присвоить кукам опцию "Только по SSL".

Это не баг.

Filipp said:
↑ (https://antichat.live/posts/3951548/)
"Только по SSL".​


Флаг Secure.

Это баг если на сессионных Куках не стоит этот флаг а сайт поддерживает https​

Isis said:
↑ (https://antichat.live/posts/3951578/)
Это не баг.


Может ошибся в формулировке. Но это явно недоработка.


psihoz26 said:
↑ (https://antichat.live/posts/3951603/)
Флаг Secure.

Это баг если на сессионных Куках не стоит этот флаг а сайт поддерживает https​


Ну я об этом и говорю

Содержание статьи совсем не соответствует заголовку...

Chrome~ said:
↑ (https://antichat.live/posts/3951649/)
Содержание статьи совсем не соответствует заголовку...


А смысл мне расписывать на примере? Я дал идею, а как это сделать гуглиться без особой сложности.

Filipp said:
↑ (https://antichat.live/posts/3951667/)
А смысл мне расписывать на примере? Я дал идею, а как это сделать гуглиться без особой сложности.


Имею ввиду, что "кукисы только для https" никак не сопоставляются с "Весь веб за несколько секунд (MiTM) + ByPass TLS".

Chrome~ said:
↑ (https://antichat.live/posts/3951676/)
Имею ввиду, что "кукисы только для https" никак не сопоставляются с "Весь веб за несколько секунд (MiTM) + ByPass TLS".


Эмм, мож я где-то не догоняю. Все что есть в браузере можно слить описанным способом не ожидая пока жертва зайдет на нужный веб-ресурс. Инжектишь десяток сайтов через тот же и получаешь все что нужно. Видимо все таки писатель из меня не очень..

Просто удали из название темы

Весь веб за несколько секунд. А то пристали тут старикашки

Filipp said:
↑ (https://antichat.live/posts/3951548/)
Всем Hi. Недавно решил поспуфить парочку ресурсов и нашел очень интересную методу получения кук всех нужных сайтов.
Теория​
Суть сего метода заключается в мини-баге браузеров и не совсем безопасного назначения политики кук.

Допустим у нас есть цель, defcon.ru. Работает он только на https. Однако, еслиобратиться к нему сайту по http, то браузер сольет все данные, а мы легко сможем посмотреть что там внутри.

Рассмотрим на примере. Нам нужно заставить браузер зайти на нужный сайт по http. Делается это без дополнительных трудностей:
http://s020.radikal.ru/i704/1602/5c/82a5c8e4e235.png

Теперь заглянем в head запроса:

http://s011.radikal.ru/i316/1602/c7/20e671a5eb10.png​
Как видим, все успешно отправилось до момента установки шифрованного соединения
PoC

В реальной атаке нужно просто подождать пока жертва зайдет на какой-нибудь сайт без SSL'я, проинжектить ответ и заставить браузер обратиться к нужным ресурсам, дальше дело в шляпе. Перехватом заголовков http-запросов занимается любая MiTM тулза.

Defend​
Покопавшись в этом деле, я нашел защиту от подобных дел, только ней почти никто не пользуется. Можно присвоить кукам опцию "Только по SSL".


Как форсировать пользователя зайти на нужный сайт?

blackbox said:
↑ (https://antichat.live/posts/3951686/)
Как форсировать пользователя зайти на нужный сайт?


Нужно в ответ какого-либо сайта работающего по http добавить к примеру "]/'>[/URL], и браузер обратиться к нему, слив все куки. Можно добавить кучу сайтов и получить куки.

Мда, вижу что статья херовая, раз никто ничего не понял. Тогда допишу на днях как положено, с примерами.

Filipp said:
↑ (https://antichat.live/posts/3951695/)
Нужно в ответ какого-либо сайта работающего по http добавить к примеру "]/'>[/URL]
, и браузер обратиться к нему, слив все куки. Можно добавить кучу сайтов и получить куки.
Мда, вижу что статья херовая, раз никто ничего не понял. Тогда допишу на днях как положено, с примерами.


Я в общем-то и спрашивал как в подменить ответ, например. В том же intercepter-ng можно трафик подменять но там свои ограничения. С примерами, конечно, интереснее будет.

mitmf. Мустанг не дописывай, статья и так полная, не нарушай традиции