23 ago 2012

Interceptando contraseñas mediante SSLStrip

Buenas a todos, en el post de hoy os traemos un videotutorial en el que veréis paso por paso como utilizar la herramienta SSLStrip de la que ya hablamos hace varios meses en Flu Project con éste artículo, para hacer creer al usuario que está bajo una conexión segura, ya sea porque el usuario ve un candadito que indica seguridad, sslstrip puede falsificarlo, o por que el usuario no se fija si está bajo tráfico cifrado o no, con el fin de robar sus credenciales.

¡Disfrutarlo!:

[youtube aOXhfotDMuo nolink]

Saludos!

1 comentario:

  1. Hola,Esto ya no funciona con navegadores actualizados (FF, Chrone, etc) que cuenten con HSTS (http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security)“HSTS fixes this problem by informing the browser that connections to the site should always use SSL. Of course, the HSTS header can be stripped by the attacker if this is the user’s first visit.Chrome attempts to limit this problem by including a hard-coded list of HSTS sites.[11] Unfortunately this solution cannot scale to include all websites on the internet; a more workable solution can be achieved by including HSTS data inside DNS records, and accessing them securely via DNSSEC.”Más info en:http://forums.hak5.org/index.php?/topic/25322-sslstrip-not-working-with-gmail-twitter/

    ResponderEliminar