Results 1 to 9 of 9

Thread: sslstrip e login mail

  1. #1
    Just burned his ISO
    Join Date
    Jan 2010
    Posts
    3

    Red face sslstrip e login mail

    Ciao a tutti sto testando su una rete interna la nuova release bt4.
    in particolare sto testando il software sslstrip.

    Su mail come libero registra correttamente utente e password e mi reinderizza alla pagina dovuta, su mail come gmail oppure una mia mail interna che usa https. registra utente e password inseriti ma mi rimanda alla pagina di login, qualcuno può aiutarmi?
    Grazie

  2. #2
    Moderator
    Join Date
    Aug 2007
    Posts
    1,053

    Default

    c'é un video su SSL-Strip nell' apposita sezione...

    ...che "mi rimanda alla pagina di login" cosa significa ?

    parli del Pc vittima ?

  3. #3
    Just burned his ISO
    Join Date
    Jan 2010
    Posts
    3

    Default

    Quote Originally Posted by brigante View Post
    c'é un video su SSL-Strip nell' apposita sezione...

    ...che "mi rimanda alla pagina di login" cosa significa ?

    parli del Pc vittima ?
    esatto brigante,
    esempio: supponiamo che A sia il pc attaccante e B il Pc Vittima.
    A esegue sslstrip e lancia un pacchetto di apr al pc B,
    se B si collega alla mail di libero, il pc vittima non si accorge di niente perchè il funzionamento è corretto.
    Se B invece si collega su Gmail, quindi con https e non http come su libero, anche inserendo utente e password corretta continua a richiedere utente e password.
    A registra i dati inseriti anche se B si collega su Gmail ma B si rende conto che c'è qualcosa che non va, la navigazione non è più trasparente come prima.

  4. #4
    Moderator
    Join Date
    Aug 2007
    Posts
    1,053

    Default

    la questione è che ormai, come per libero che infatti ha il login come: https://login.libero.it/ , ormai tutte le caselle mail stanno, se non lo hanno già fatto, passando a SSL.

    la questione è semplice, quando tu accedi a gmail non accedi "solo" a GMail ma ad una serie di servizi che Google offre e a cui ti autentica tramite un solo login, il classico accedi che c'é in alto a destra, quindi appena fatto quest' ingresso si entra in tutti i servizi offerti da Google e per entrare in GMail ti basta accedere tramite il link gmail in alto a sinistra fra gli altri.

  5. #5
    Just burned his ISO
    Join Date
    Jan 2010
    Posts
    9

    Default

    this language should be english to readable

  6. #6
    Member ReversaL's Avatar
    Join Date
    Jan 2010
    Posts
    166

    Default

    read at the top of the page.. we're in the italian section of the backtrack comunity!
    but if you need something, you can ask in the in the forum (international).. bye

  7. #7
    Just burned his ISO
    Join Date
    Jan 2010
    Posts
    3

    Default

    Quote Originally Posted by brigante View Post
    la questione è che ormai, come per libero che infatti ha il login come: https://login.libero.it/ , ormai tutte le caselle mail stanno, se non lo hanno già fatto, passando a SSL.

    la questione è semplice, quando tu accedi a gmail non accedi "solo" a GMail ma ad una serie di servizi che Google offre e a cui ti autentica tramite un solo login, il classico accedi che c'é in alto a destra, quindi appena fatto quest' ingresso si entra in tutti i servizi offerti da Google e per entrare in GMail ti basta accedere tramite il link gmail in alto a sinistra fra gli altri.
    Scusa brigante, ma ssl strip non serve proprio per sniffare https?

  8. #8
    Moderator
    Join Date
    Aug 2007
    Posts
    1,053

    Default

    Scusa brigante, ma ssl strip non serve proprio per sniffare https?
    No.
    SSL-Strip elimina, "strippa", la crittografia SSL durante la navigazione con una specifica interfaccia, permettendo così ad altri programmi di sniffare il/le traffico/credenziali senza troppa difficolta, ma questo cosa c'entra con la tua precedente domanda scusa ?

    nella sezione Tutorial ed How-to del forum c'é un video guardalo bene, viene mostrato che quando ci si connette a gmail invece di avere nel browser l' indirizzo https si ottiene http, (segno del lavoro che svolge SSL-Strip), nel video le credenziali sono state ottenute con Ettercap ma sarebbe bastata una semplice sessione di Wireshark per intenderci.


  9. #9
    Just burned his ISO
    Join Date
    Jan 2010
    Posts
    2

    Default

    Quote Originally Posted by merryxmas View Post
    Ciao a tutti sto testando su una rete interna la nuova release bt4.
    in particolare sto testando il software sslstrip.

    Su mail come libero registra correttamente utente e password e mi reinderizza alla pagina dovuta, su mail come gmail oppure una mia mail interna che usa https. registra utente e password inseriti ma mi rimanda alla pagina di login, qualcuno può aiutarmi?
    Grazie
    Ciao Merryxmas,
    vorrei testare la sicurezza della password dell'account di libero.. e da come leggo credo tu mi possa aiutare.
    Ti lascio la mia email, se mi puoi contattare in pvt..
    grazie
    gumdin@libero.it

    [EDIT]
    guarda che così sbagli comportamento - evita - grazie
    [/EDIT]

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •