c'é un video su SSL-Strip nell' apposita sezione...
...che "mi rimanda alla pagina di login" cosa significa ?
parli del Pc vittima ?
sslstrip e login mail
Ciao a tutti sto testando su una rete interna la nuova release bt4.
in particolare sto testando il software sslstrip.
Su mail come libero registra correttamente utente e password e mi reinderizza alla pagina dovuta, su mail come gmail oppure una mia mail interna che usa https. registra utente e password inseriti ma mi rimanda alla pagina di login, qualcuno può aiutarmi?
Grazie
c'é un video su SSL-Strip nell' apposita sezione...
...che "mi rimanda alla pagina di login" cosa significa ?
parli del Pc vittima ?
esatto brigante,Originally Posted by brigante
esempio: supponiamo che A sia il pc attaccante e B il Pc Vittima.
A esegue sslstrip e lancia un pacchetto di apr al pc B,
se B si collega alla mail di libero, il pc vittima non si accorge di niente perchè il funzionamento è corretto.
Se B invece si collega su Gmail, quindi con https e non http come su libero, anche inserendo utente e password corretta continua a richiedere utente e password.
A registra i dati inseriti anche se B si collega su Gmail ma B si rende conto che c'è qualcosa che non va, la navigazione non è più trasparente come prima.
la questione è che ormai, come per libero che infatti ha il login come: https://login.libero.it/ , ormai tutte le caselle mail stanno, se non lo hanno già fatto, passando a SSL.
la questione è semplice, quando tu accedi a gmail non accedi "solo" a GMail ma ad una serie di servizi che Google offre e a cui ti autentica tramite un solo login, il classico accedi che c'é in alto a destra, quindi appena fatto quest' ingresso si entra in tutti i servizi offerti da Google e per entrare in GMail ti basta accedere tramite il link gmail in alto a sinistra fra gli altri.
this language should be english to readable
read at the top of the page.. we're in the italian section of the backtrack comunity!
but if you need something, you can ask in the in the forum (international).. bye
Scusa brigante, ma ssl strip non serve proprio per sniffare https?
No.Scusa brigante, ma ssl strip non serve proprio per sniffare https?
SSL-Strip elimina, "strippa", la crittografia SSL durante la navigazione con una specifica interfaccia, permettendo così ad altri programmi di sniffare il/le traffico/credenziali senza troppa difficolta, ma questo cosa c'entra con la tua precedente domanda scusa ?
nella sezione Tutorial ed How-to del forum c'é un video guardalo bene, viene mostrato che quando ci si connette a gmail invece di avere nel browser l' indirizzo https si ottiene http, (segno del lavoro che svolge SSL-Strip), nel video le credenziali sono state ottenute con Ettercap ma sarebbe bastata una semplice sessione di Wireshark per intenderci.
Ciao Merryxmas,
vorrei testare la sicurezza della password dell'account di libero.. e da come leggo credo tu mi possa aiutare.
Ti lascio la mia email, se mi puoi contattare in pvt..
grazie
gumdin@libero.it
[EDIT]
guarda che così sbagli comportamento - evita - grazie
[/EDIT]
Posting Permissions