36 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Information Security Squad

Вступление

Прокси, подобные тому, что включены в Burp Suite, предназначены для перехвата трафика.

Это позволяет владельцу прокси просматривать, изменять и отбрасывать пакеты, проходящие через прокси.

Хотя это, безусловно, может быть использовано в преступных целях, оно также может быть использовано злоумышленниками для защиты от вредоносных программ и опасного поведения пользователя.

В этой статье мы обсудим, как использовать Burp Suite для перехвата веб-трафика, как зашифрованного, так и незашифрованного. Мы начнем с незашифрованного трафика (HTTP), а затем рассмотрим изменения, необходимые для HTTPS.

Перехват HTTP-трафика

Первым шагом к перехвату веб-трафика с помощью Burp Suite является его установка в вашей системе.

Выпуск Burp Suite Community Edition доступен от PortSwigger.

После установки и открытия Burp Suite вы увидите экран, аналогичный показанному ниже.

При использовании Burp Suite в качестве прокси, рекомендуется убедиться, что прокси активен.

Как показано на приведенном выше экране, эта информация находится в разделе «Proxy» в первом ряду вкладок и «Options» во втором ряду.

Обратите внимание, что прокси-сервер Burp по умолчанию работает на 127.0.0.1:8080.

Если прокси-сервер работает, следующим шагом является настройка веб-браузера для использования прокси.

В этом примере мы используем Chrome, поэтому эти настройки можно найти, открыв Параметры и выполнив поиск прокси, как показано ниже.

Нажатие на кнопку «Настройки прокси-сервера» на приведенном выше экране открывает настройки Интернета на компьютере.

Как показано на экране ниже, мы используем Windows для этого примера.

На приведенном выше экране нажмите кнопку настроек локальной сети, которая откроет приведенный ниже экран.

Внизу этого экрана находятся настройки прокси-сервера компьютера.

Как показано выше, мы установили параметры прокси-сервера для компьютера по умолчанию адрес и порт Burp Proxy (127.0.0.1 и 8080).

Если вы изменили эту информацию для своего экземпляра Burp Suite, используйте здесь измененные значения.

По завершении нажмите кнопку ОК и попытайтесь перейти на веб-сайт.

Для этого примера мы использовали сайт HTTPS.

В результате мы видим предупреждение, как показано ниже.

Нажатие «Дополнительно» и «Перейти на сайт» позволяет нам фактически посетить этот сайт.

На этом этапе взгляните на Burp Proxy.

На вкладке Proxy → Intercept вы можете видеть запросы по мере их прохождения.

Как показано ниже, мы видим запрос GET для запрошенного веб-сайта.

Пересылка запросов в Burp в конечном итоге позволяет загружать веб-страницу (как показано ниже).

Однако, как показано в адресной строке, сайт не считается безопасным.

Это связано с тем, что Burp разрывает цепочку сертификатов между клиентом и сервером и вместо этого использует собственный сертификат.

Поскольку сертификат Burp самоподписаный и не пользуется доверием браузера, Chrome дает понять пользователю, что это не безопасное соединение.

Но что, если мы попытаемся посетить сайт, используя HTTPS Strict Transport Security (HSTS), где сайт требует, чтобы между сервером и клиентом было установлено безопасное соединение?

На рисунке ниже показана попытка поиска в Google, пока Burp выполняет перехват.

Как показано на экране выше, Chrome не дает возможности перейти на ненадежный сайт.

Поскольку Burp предоставляет свой собственный (ненадежный) сертификат клиенту, соединение полностью ненадежно и не может продолжаться.

Читать еще:  Как заставить Windows работать на полную мощность

Чтобы посетить Google, нам нужно, чтобы Chrome доверял сертификату Burp Proxy.

Делаем прыжок к HTTPS

Burp Proxy генерирует свой собственный самоподписанный сертификат для каждого экземпляра.

Чтобы получить копию сертификата Burp CA, перейдите по адресу 127.0.0.1:8080 (или там, где работает ваш экземпляр Burp Proxy).

Оказавшись там, вы увидите экран, подобный тому что ниже.

На приведенном выше экране нажмите сертификат CA в правом верхнем углу.

Это позволит вам сохранить копию сертификата CA на ваш компьютер.

Получив сертификат, вы должны пометить его как доверенный в своем браузере.

В Chrome этот параметр находится в разделе «Настройки» → «Дополнительные настройки» → «Конфиденциальность и безопасность».

Внизу экрана ниже есть опция для управления сертификатами.

Нажатие на «Управление сертификатами» откроет окно для локального управления сертификатами на вашем компьютере.

В Windows вы увидите экран подобный тому, что показан ниже.

Чтобы заставить Chrome доверять сертификату Burp, перейдите на вкладку Trusted Root Certification Authorities и нажмите «Import».

Нажмите на подсказки и укажите его как недавно загруженный сертификат.

Как только вы получили сообщение об успехе, перезапустите Burp и ваш браузер.

Просматривая наш сайт на itsecforu.ru, мы больше не получаем сообщение об ошибке о недоверенном сертификате.

Изучая сертификат (показанный ниже), мы видим, что Chrome совершенно счастлив принять сертификат, подписанный PortSwigger CA, который является компанией, которая производит Burp Suite.

На данный момент мы способны перехватывать любой веб-трафик с помощью Burp Proxy.

Вывод: приложения и ограничения перехвата HTTPS

Как уже упоминалось выше, перехват HTTPS-трафика полезен как для доброкачественных, так и для злонамеренных целей.

Киберзащитник, который может развернуть шифрование, предоставляемое TLS, может обнаруживать и устранять заражения вредоносными программами или вторжения в систему угроз в корпоративной сети.

Однако злоумышленник с такими же возможностями представляет собой серьезную угрозу для конфиденциальности и безопасности пользователей в сети.

Тот факт, что пользователь должен доверять доверенному сертификату Burp, может раздражать защитника, но является значительным бонусом при работе со злоумышленниками. Организация может навязать доверие к Burp CA (и многие из них имеют аналогичные политики для сертификатов корневого CA организации для глубокой проверки пакетов), но это требует надлежащей защиты экземпляра прокси Burp.

Любой, кто имеет доступ к закрытому ключу, соответствующему самоподписанному сертификату Burp, может читать любые данные, отправленные браузерами с использованием прокси.

Прокси-сервер: что это такое простыми словами

Когда пользователи еще не знают, что такое прокси-сервер и не понимают сути, складывается впечатление, что этот термин, как и сам сервис, встречается только лишь у работников сферы программирования, администраторов и тех, чья работа связана с технической стороной ресурсов. На самом деле — это очень простая и полезная система, о которой мы расскажем простыми словами.

Чтобы понять, что же такое прокси-сервер надо представить любой популярный сервис, который по каким-либо причинам недоступен всем жителям нашей страны. К сожалению, эти случаи нередки, когда продвижение нового магазина набирает обороты в европейских странах, пользуясь в дальнейшем большой популярностью и отличаясь качественными товарами по низким ценам, а доступ российским пользователям к ним запрещен.

Первый вопрос, который хочется задать, как те сайты, которые ограничивают вам доступ в виду территориального положения, знают из какой вы страны? Ответ прост. Запрашивая информацию у разных ресурсов, вы, сами того не подозревая, предоставляете немало личной информации, включая свое местоположение.

Теперь представьте, что за пределами вашей страны есть некий сервер, через который вы можете посещать сайты, ранее вам недоступные. Говоря простым языком, такой проводник и есть прокси-сервер, подключаясь через который, сайты, недоступные в России, будут думать, что на них заходите не вы, а человек из той страны, где работает прокси-сервер и, следовательно, предоставит вам полный доступ.

Читать еще:  Настройка автозапуска приложений на Андроид – как включить/отключить автозагрузку

Где найти прокси сервер?

  1. 1 на специальных сайтах. В таком случае вы сможете пользоваться им бесплатно, например на сайте www.aliveproxy.com.
  2. 2 через специальные программы, которые находят прокси через свой поиск, самая простая в использовании – это Hide IP Platinum или ProxySwitcher Standard
  3. 3 купить на специализированных сайтах. Хорошо себя зарекомендовал ресурс www.proxy-sale.com. Одни из преимуществ платного прокси – его стабильная работа, компетентная и своевременная техническая поддержка

Похожие записки:

  • Постквантовый мир прикладной криптографии
  • Прогресс ESNI
  • Криптографическая библиотека для Arduino: дополнение для новых IDE
  • Удостоверяющие центры TLS-сертификатов Рунета
  • Экспериментальный сервер TLS 1.3: обновление
  • Microsoft и DNS-over-HTTPS
  • Закладки в системах с машинным обучением
  • Персоны и идентификаторы
  • DNS-over-TLS на авторитативных серверах DNS
  • Обновление описания TLS
  • Взлом Twitter и влияние на офлайн
  • Приложение про DNS к описанию TLS
  • Сервис проверки настроек веб-узлов
  • Сколько лет Интернету
  • Мониторинг: фитнес-браслет и смартфон
  • Симметрии и дискретное логарифмирование
  • Полностью зашифрованные протоколы в Интернете

Особенности

Перехват и подмена настоящего сертификата SSL-сервера;

Расшифровка доступна только для стандартного HTTPS/SSL трафика без дополнительной защиты;

Возможно объединение HTTPS/SSL-перехватчика с E-Detective или E-Detective Decoding Centre (EDDC) в единую систему обработки данных для расширения функциональных возможностей;

Недостатком средства является то, что наблюдаемый пользователь может получить предупреждение о несоответствии сертификата. Этого можно избежать, пользуясь услугами центров сертификации. За дополнительной информацией обращайтесь к ответственному за направление.

Функция привязки cookies (sticky cookies) полезна при работе с сервисами, требующими авторизации. Достаточно авторизоваться на таком сервисе один раз, и mitmproxy будет автоматически добавлять соответствующий cookie к каждому запросу. После этого все запросы будут передаваться на сервер без повторной авторизации.

Режим привязки cookies активируется так:

Ко всем проксируемым запросам можно также добавлять заголовки авторизации. Для этого используется опция -u.

Режим reverse proxy

В этом режиме все запросы отсылаются к вышестоящему серверу. Mitmproxy в данном случае можно использовать в качестве временной прослойки, наблюдая и перехватывая запросы.
Режим reverse proxy активируется при помощи команды:

Функция anticache

Mitmproxy может убирать из запроса заголовки if-modified-since и if-none-match. Благодаря этому всегда можно просмотреть полный ответ от сервера, даже если браузер сообщает, что запрашиваемый документ есть в кэше.

Активируется эта функция при помощи следующей команды:

SSL/TLS квитирование (обмен данными)

Расскажу в общих чертах и с помощью не очень подробного рисунка. Итак, как происходит обмен данными с участием протоколов:

В фазе, когда наши компьютеры только познакомились, а SSL клиент и сервер только начинают общаться, они договариваются об использовании версии протокола, подбирают общий алгоритм криптографии, используют общие техники шифрования с целью “распределения секретов” (принцип по типу “секрет не должен быть доступен лишь одному”). Вобщем на первом этапе знакомства наш компьютер должен получить отклик от сервера о готовности к обмену (или же получает ошибку о невозможности соединиться с удалённым компьютером).

Второй этап подразумевает обмен сообщениями подтверждения сертификатов и обмены ключами. Для перехватчика это момент истины, так как обмен данными (ПЕРЕПИСКА) на следующем этапе будет происходить уже в зашифрованном виде.

ПРОКСИ-СЕРВЕР ПЕРЕХВАТЧИК. ОПРЕДЕЛЕНИЕ

Так вот, прокси-сервер перехватчик это инструмент, включающий в себя программный прокси-сервер (не физическое оборудование, то есть конкретный компьютер) и сетевой шлюз. Под шлюзом мы понимаем сетевое устройство, который осуществляет связь между использующими разные коммуникационные протоколы компьютерными сетями (или мэйнфреймом и сетью). Таким образом, они, шлюзы, могут выполнять конвертацию одного типа протокола в другой. Кроме передачи данных, способны также проводить их фильтрацию. Программный прокси-сервер ставится в разрыв между браузером и сетью интернет. Все соединения, налаживаемые вашим браузером, перенаправляются через прокси-сервер , настроенный со стороны клиента таким образом, чтобы передача данных по типу запрос-выдача происходила несколько иначе, чем это заложено разработчиком приложения или правилами ведения протокола передачи данных. Короче говоря, это один из самых мощных инструментов, который можно использовать при проверке приложения на уязвимость (читай – атаке на чужое приложение).

Читать еще:  JWPlayer и свой YouTube. JWPlayer и свой YouTube Где скачать JWPalyer

Чтобы изучить содержимое переписки компьютеров в виде простого текста, прокси-сервер перехватчик убивает запросы клиента-компьютера, подменяя на свои.

Если вы впервые слышите о таком инструменте, то можно представить, что у вас в руках своеобразная машина времени, которая останавливает те мгновения, в течение которых браузер сначала связывается по поводу информации с сервером в соответствии с набранным вами запросом, и когда сервер отвечает вашему браузеру, выдавая интересующие его данные. Именно так, напомню, и происходит обмен данными, который незаметен для глаз простого пользователя, вышедшего в интернет. То есть нашему взору открываются подробности работы любого приложения, которые можно внимательно изучить.

Прокси-сервер перехватчик может быть реализован в нескольких вариантах. Самый распространённый из сценариев – интеграция с существующим HTTP и SOCKS прокси. Есть брандмауэры последних поколений, специальные фаерволы для конкретных приложений, а также специальные плагины для браузеров. Но несмотря на разные подходы к внедрению в SSL сессию, принципы работы перехватчика, когда он уже внутри, схожи: две сессии разделяются и проводится анализ содержимого в текстовом виде, давая начало термину “человек-посередине“, теряя признаки самого “прокси”:

Похожие записки:

  • Microsoft и DNS-over-HTTPS
  • Симметрии и дискретное логарифмирование
  • Закладки в системах с машинным обучением
  • Приложение про DNS к описанию TLS
  • Сколько лет Интернету
  • Постквантовый мир прикладной криптографии
  • Экспериментальный сервер TLS 1.3: обновление
  • Обновление описания TLS
  • Мониторинг: фитнес-браслет и смартфон
  • Полностью зашифрованные протоколы в Интернете
  • Удостоверяющие центры TLS-сертификатов Рунета
  • Сервис проверки настроек веб-узлов
  • DNS-over-TLS на авторитативных серверах DNS
  • Взлом Twitter и влияние на офлайн
  • Прогресс ESNI
  • Персоны и идентификаторы
  • Криптографическая библиотека для Arduino: дополнение для новых IDE

Разновидности прокси

Если брать во внимание принцип работы, то можно выделить два вида прокси-серверов: прозрачные и непрозрачные.

  • прозрачные прокси не изменяют запросы и информацию, полученную на них, и не скрывают IP-адрес клиентов;
  • непрозрачные прокси изменяют информацию, скрывая данные о пользователе, меняя формат изображений, переводя текст с одного языка на другой.

Существуют также кэширующие прокси-серверы. В отличие от обычных они создают свой собственный банк ответов, полученных на те, или иные запросы. И если запрос повторяется снова, то прокси отправляет ответ уже из своей собственной базы, не обращаясь к ресурсу-первоисточнику. Это позволяет экономить трафик и время на поиск информации.

Исходя из выполняемых функций прокси делятся на:

  1. 1 HTTP, HTTPS – это универсальный прокси. Протокол позволяет скачивать любые файлы, просматривать веб-страницы, корректно работать с программами.
  2. 2 Socks – позволяет работать с информацией любого типа, работает как и HTTPS, но с более значительным уровнем шифрования. Требует установления специальной программы в браузер.
  3. 3 CGI – работает через браузер. Данный тип прокси называется «анонимайзером».
  4. 4 FTP – подходит для корпоративных клиентов, предназначен для обмена информацией между локальным компьютером и веб-сервером, обеспечивая защиту от внешних угроз.
Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector