httpsをスプーフィングできます

<h1>秘密のセキュリティウィキ</h1>
<blockquote>SecureSiteのためにDNSキャッシュを毒することができたと仮定します.あなたが制御するIPを持つcom. さて、クライアントがhttps:// secureSiteにアクセスしたとき.com、IPアドレスに解決します. SSLハンドシェイクプロセスの一部として、サーバーはSecureSiteの有効な証明書を送信する必要があります.公開キーを含むcom.</blockquote>
<h2>nu11secur1ty / <strong>eTtercapによるHTTPSおよびHTTPスプーフィング.MD</strong> </h2>
<p>このWikiページは、質問に答えることを目的としています。.</p>
<p>eTtercapには、httpsセキュリティされたウェブサイトに忍び込もうとする3つの可能性があります</p>
<ol>
<li>HTTPSインターセプト(そのためにもWikiページを捧げる必要があります)</li>
<li>httpsストリッピング(<em>SSLSTRIP</em> プラグイン)</li>
<li>DNSスプーフィングと自分のWebサーバーへのリダイレクト</li>
</ol>
<p>問題は、1つの条件を満たすことができる場合を除き、一部(特に有名なもの)では、これらのテクニックのどれも機能しないことです。</p>
<p><strong>>>>>要求されたDNS名の有効な証明書をブラウザに提示する! </p>
<p>しかし、それは公共の場では簡単ではありません。なぜなら、あなたがドメインとウェブサイトの真の所有者ではないことを証明できない証明書を発行する認められたCAを説得するのは難しいかもしれないからです. それの例外は、独自の内部PKIを自分のクライアント/ブラウザ(必要)を維持している企業です。.</p>
<p>開発された複数の拡張基準があり、採用率の増加を経験します。その目標は、MITMのSSL傍受を不可能または少なくとも非常に困難にすることです。</p>
<ul>
<li>HTTP Strict Transport Security、a.k.a. HSTS(RFC6797で定義)</li>
<li>HTTP公開キーピン留めa.k.a. HPKP(RFC7469で定義)</li>
<li>DNSベースの名前エンティティの認証a.k.a. Dane(RFC6698およびRFC7671)</li>
</ul>
<p>このwikiページでは、これが説明されている問題の最も多くのケースであるため、最初のhstsに焦点を合わせているだけです.</p>
<p>HSTSの目標は、安全なWebサーバーの管理者が、将来の接続にHTTPSのみを使用するようにクライアント(ブラウザ)に指示する方法があるということです。. 特別なHTTP応答ヘッダーを介してブラウザを信号する方法を提供します。特定の寿命には、ブラウザがセキュリティを適用する必要があります(HTTPS). ユーザーがaddressbar http:// wwwに入力した場合でも.Webサイト.com、ブラウザは内部的にhttp://にhttps://になります .</p>
<p>概念のもう1つの重要な部分はです <strong><em>ユーザーノーリコルス</em></strong>. それが意味することは、ブラウザがユーザーが無効な証明書の場合にセキュリティ警告を回避することを禁止することです. ユーザーが、「<em>追加</em>” また “<em>受け入れる</em>「例外. つまり、HSTSに指示されているブラウザに有効な証明書を提供できない場合、TLSハンドシェイクは完了しません.</p>
<p>あなたはそれで2つの問題を見たかもしれません.</h3></p>
<ol>
<li>ブラウザはこの標準をサポートする必要がありますが、非常に古くて不人気なブラウザのみがこれをサポートしていません.</li>
<li>HTTPにリダイレクトしようとするHTTPを使用してHSTS HTTPヘッダーをシグナル化する最初の試みは弱点です. この瞬間を傍受できる場合、HSTSはまだ効果がなく、ユーザーリコースはまだ可能です.</li>
</ol>
<p>しかし、それには少し警告があります。最も有名なブラウザは、デフォルトでHSTのために考慮されるドメイン名のビルドインリストを維持しています. あなたは何を推測しますか:</p>
<ul>
<li>フェイスブック.com</li>
<li>YouTube.com</li>
<li>グーグル.com</li>
<li>他の多く</li>
</ul>
<p>1. httpsインターセプト</h3></p>
<p>ブラウザが許可しない場合 <strong><em>ユーザーリコール</em></strong>, ブラウザは続行することを禁じます(<em>インターセプトされたHTTPSストリームが自己署名または信頼されていない証明書を提示する場合</em>)). これを回避する唯一の方法は、ブラウザが信頼するCAの認証によるオンデマンドサインです. これを提供できます <strong><em>eTtercap</em></strong> -tertificateおよび-private-keyパラメーターを使用します.</p>
<p>2. httpsストリッピング</h3></p>
<p>このプラグインは、リンクまたはリダイレクトを介してHTTPSにアップグレードする試みを抑制するために、HTTP接続に依存しています. ただし、ブラウザがHSTSまたはビルドインのブリーフィングを受けたら、ブラウザはHTTPを使用して接続を開くことを決して試みません – それはHTTPSのみを試みます.</p>
<p>DNSスプーフィングは別の段階で作用します. 偽造されたDNS返信のスプーフィングはおそらくうまくいくでしょうが、あなたの偽のWebサーバーがブラウザの信頼を信頼する証明書を提示できない場合、あなたはナンバー1に戻ってきました.</p>
<p>私はこれを回避する信頼できる方法をまだ見つけていません. あなたがアイデアを持っているときに私に知らせてください.</p>
<h2>HTTPSスプーフィング</h2>
<p> <img src=”https://doubleoctopus.com/wp-content/uploads/2022/02/search-hero-image.png” /></p>
<p>HTTPSプロトコルは、強力なTLS暗号化を利用するほとんどの状況に十分な高度なセキュリティを提供するため、最新のWebコミュニケーションの定番です。. しかし、それはハッカーがHTTPSドメインをあきらめたという意味ではありません. <br />1つの一般的な攻撃方法はHTTPSスプーフィングと呼ばれ、攻撃者はターゲットWebサイトのドメインと非常によく似たドメインを使用します. 「ホモグラフ攻撃」とも呼ばれるこの戦術により、ターゲットドメインのキャラクターは、外観が非常に似ている他の非ASCII文字に置き換えられます. 疑いを持たないユーザーは、違いに気付く可能性が非常に低く、ブラウザの安全な接続の表示によって安心してください.</p>
<p>ホモグラフィー攻撃を舞台にするために、ハッカーはターゲットウェブサイトに似たドメイン名を登録し、SSL証明書を登録して合法かつ安全に見えるようにします. その後、彼らは意図した犠牲者にリンクを送ります. ほとんどのブラウザはアドレスバーにPunycodeホスト名の表示をサポートしているため、ユーザーがアドレスにブラウズすると、訪問する予想サイトの偽物版であることに気付かない. 彼らのブラウザは、ウェブサイトの証明書が正当かつ安全であることを示しており、攻撃を検出することをさらに困難にしています.</p>
<p>そこから、ユーザーは合法的な暗号化されたウェブサイトとやり取りしていると考えていますが、実際には中間の攻撃の犠牲者になり、悪意のある俳優に情報を提供しています. セキュリティ研究者のXudong Zhengは昨年、この攻撃の概念の証明を示しました。.com.</p>
<p>HTTPSスプーフィングを防ぐ方法の1つは、ブラウザでPunycodeディスプレイサポートを無効にすることです. これにより、アドレスバーにある実際のエンコードされたドメイン名が確認され、非認証のWebサイトにアクセスしている場合は警告します。. たとえば、上記の概念実証の住所にアクセスすると、「https:// wwwを参照してください。.xn-80ak6aa92e.com」キリル語で「Apple」を見る代わりにアドレスバーに.」</p>
<p>ホモグラフィー攻撃に対する別の保護は、パスワードマネージャーを使用することです. パスワードマネージャーは、正当なドメインにアクセスすると、ウェブサイトのユーザー名とアドレスボックスに自動的に入力されます. 彼らは、プニグロの表現の見た目にだまされていません.</p>
<h2>HTTPスプーフィング</h2>
<p><em>HTTPスプーフィング</em> 攻撃者から誘惑されているユーザーを欺くことで働きます。. HTTPスプーフィングも呼び出されます <em>HTTPSスプーフィング</em> また <em>IDNホモグラフ攻撃</em>. 中間攻撃の一種(MITM)と見なされるこの手法は、フィッシング攻撃によく使用されます.</p>
<p><strong>ノート</strong>:名前にもかかわらず <em>HTTPスプーフィング</em> また <em>HTTPSスプーフィング</em> (どちらもこのタイプの攻撃を説明するために使用されます)、この攻撃手法はHTTP/HTTPSプロトコルとはほとんど関係がなく、実際、国際ドメイン名システムの脆弱性に基づいています.</p>
<h3>IDNとは何ですか?</h3>
<p>インターネットの初期には、ドメイン名とホスト名がASCII文字のみを含めることができました. 国際化されたドメイン名(IDN)は1987年にマーティン・デューストによって最初に提案され、1990年にタン・ジュイ・クワンとレオン・コク・ヨンがタン・ティン・ウィーの指導の下で実施しました. 標準として、ICANNと他の組織は呼ばれるシステムを採用しました <em>アプリケーションの国際化ドメイン名</em> (idna).</p>
<p>IDNSにより、すべてのUnicode文字がトップレベルドメイン(TLD)名、およびサブドメインとホスト名で使用することを可能にしました. これは、さまざまなアルファベットや異なる言語のユーザーにとって重要なアクセシビリティの改善でしたが、予期しない脆弱性も導入しました:IDN <em>ホモグラフ</em> というより <em>ホモグリフ</em>.</p>
<h3>IDNホモグラフ/ホモグリフとは何ですか?</h3>
<p>a <em>ホモグラフ</em> 別の単語と同じ書かれた形式を共有するが、意味が異なる単語です. 英語のホモグラフの例はあるかもしれません <em>弓</em>, 船の弓のように、矢を撃つために使用される弓のように(弓を取ることは言うまでもなく). 関連用語 <em>ホモグリフ</em> 同一または非常に類似しているように見える形状のグリフのようなキャラクターまたはグリフ.</p>
<p>an <em>IDNホモグラフ</em>, これは実際に呼ばれるべきです <em>IDNホモグリフ</em>, は、ほぼ同じように見えるが、実際にはまったく異なる文字で構成されている2つの国際ドメイン名を記述するために使用される用語です。. これは、ギリシャ語のアルファベット、キリル語のアルファベット、さらにはアラビア語のアルファベットなど、非ラチンアルファベットからのいくつかの文字が、ASCIIキャラクターセットからの文字によく似ているためです。. たとえば、ラテン文字 <em>私</em> (資本 <em>私</em>)およびキリル文字 <em>an</em> 同一に見えます(または、使用するフォントに応じて、ほぼ同じです).</p>
<h3>IDNホモグリフは攻撃にどのように使用できますか?</h3>
<p>詐欺師は、スプーフィングしたいドメインのIDNホモグリフを含むドメインを登録することにより、悪意のある目的でIDNホモグリフを使用できます. たとえば、登録しようとすることができます <em>ええと.com</em>. 実際、これはそうではありません <em>グーグル.com</em> – Unicode Lookup Webアプリケーションを使用して確認できます.</p>
<p>偽のドメインを登録した後、攻撃者は、たとえばフィッシングテクニックを使用して被害者を詐欺し、元のものとまったく同じように見えるように作られた偽のWebサイトに誘います. 攻撃者は、そのようなウェブサイトのスプーフィングを使用して、ログイン資格情報やその他のタイプの認証またはアクセス制御情報、機密情報、電話番号など、ユーザーが入力した情報をキャプチャできます。.</p>
<p>IDNが導入される前に、HTTPスプーフィングも理論的に可能でしたが、見つけるのがはるかに簡単であることに注意してください. たとえば、攻撃者はドメインの登録を試みることができます <em>goog1e.com</em> そして、犠牲者をだましてではなく、それを訪問させます <em>グーグル.com</em>. この手法も呼ばれることもあります <em>スクリプトスプーフィング</em> Typosquattingと同じアイデアに従います(一般的なスペルミスにドメインを登録).</p>
<p>誰またはなぜ当初用語を使用したのかは不明です <em>ホモグラフ攻撃</em> それ以外の <em>ホモグリフ攻撃,</em> しかし、誤った名前は多くの人によって採用されていました(および同様の用語など <em>ホモグラフドメイン</em>)). トピックは記事の公開後に熱くなりました <em>ユニコードドメインによるフィッシング</em> 2017年のセキュリティ研究者Xudong Zhengによる.</p>
<h3>Punycodeとは何ですか?</h3>
<p>Punycodeは、ドメイン名とホスト名のASCII文字としてUnicode文字を表すために使用されるコードです. 元のドメイン名システムはUnicodeを念頭に置いて設計されていないため、ドメイン名に8ビット以外の文字を導入することは非常に困難です. 代わりに、すべてのIDNは実際にはPunycodeの形式で、たとえばDNSサーバーに保存および処理され、ユーザー向けにUnicodeフォームでのみ表示されます.</p>
<p>たとえば、貼り付ける場合 <em>ええと.com</em> ブラウザには、最初にPunycodeに変換されます(<em>xn – l-r1aa31la42e.com</em>)そしてその後のみ、その情報をさらに送信します. 電子メールクライアントなどの多くのアプリケーションも逆に動作します – 彼らがPunycodeでコンテンツを受け取った場合、彼らはそれを認識してUnicodeとして表示します.</p>
<h2>HTTPスプーフィング攻撃の例</h2>
<ol>
<li>攻撃者はホモグリフ攻撃ジェネレーターを使用してホモグリフを作成します <em>Invicti</em>: <em>nvvth</em>. その文字に注意してください <em>私</em> と <em>ϲ</em> のホモグリフである非ラチン文字です <em>私</em> と <em>c</em>.</li>
<li>攻撃者は、ホモグリフを使用してドメインを登録し(それらを追跡するのが難しいセキュリティ対策を使用)、HTMLコードをコピーして元のInvicti Webサイトとまったく同じように見えるWebサイトを構築します. また、HTTPS Webサイトでさえ、完全に合法に見えるようにするために、ドメインの合法的な証明書当局からTLS/SSL証明書を購入します.</li>
<li>あなたはそれがから来ているように見えるフィッシングメールを受け取ります <em>Invicti.com</em> (攻撃者はまた、電子メールスプーフィングテクニックを使用しています)、Invicti Learnで新しい興味深いセキュリティトピックを宣伝する. メールのリンクをクリックしてください。 <em>nvvth.com</em> (ホモグリフサイト).</li>
<li>あなたがあなたの個人的な詳細をinvictiを提供するならば、あなたはあなたに革新的なホワイトペーパーを約束するポップアップを見ます. 提供されたフォームに個人情報を入力します.</li>
<li>攻撃者は現在、あなたの個人情報を盗み、潜在的に個人情報の盗難や不正アクセスなど、他の目的に使用できます(偽造形式で提供するようにだまされた情報の範囲に応じて).</li>
</ol>
<p>完全な中間のシナリオでは、攻撃者のウェブサイトは元のものとバックグラウンドで通信することもできます <em>Invicti.com</em> Webサイト. 一方 <em>Invicti.com</em> Webページは、その機能が限られているため、このような攻撃のターゲットではないため、オンラインバンクのログインページは. そして、次のような非明確なターゲットでさえ <em>Invicti.com</em> たとえば、分散拒否拒否(DDO)攻撃、暗号通貨鉱夫、またはランサムウェアに使用されるボットネットクライアントなどのマルウェアを配布するために使用できます.</p>
<h3>ノンフィッシングHTTPスプーフィング攻撃</h3>
<p>スプーファーがフィッシングに頼りたくなく、ARPスプーフィング、IPアドレススプーフィング、DNSスプーフィング、セッションハイジャックなど、別の中間攻撃を実行できる場合、HTTPと組み合わせてこれらを使用できます。被害者にソーシャルエンジニアリングを必要とせずに偽のウェブサイトにアクセスするためのスプーフィング. 悪意のあるアクターは、たとえば、WebブラウザーとWebサーバー間のルーティングまたは通信を傍受し、HTTPヘッダーの正当なドメイン名をそのホモグリフに置き換えることができます。. クロスサイトスクリプトなどのいくつかのWeb脆弱性でさえ、効果的な攻撃のためにHTTPスプーフィングと併せて使用できます.</p>
<h2>HTTPスプーフィングを検出する方法?</h2>
<p><ul>
<li>エンドユーザーの場合:最新のWebブラウザを使用する場合、エンドポイントでHTTPスプーフィングを検出するのは非常に簡単です. あなたがしなければならないのは、リンクをクリックした後、ブラウザのアドレスバーを見ることです。. たとえば、電子メールコンテンツでは、IDNS、最新のブラウザ(Google Chrome、Mozilla Firefox、Opera、Microsoft Internet Explorer and Edge、Apple Safari)としてリンクが提供される場合があります。. そうすれば、訪問していないことがすぐにわかります <em>Invicti.com</em> しかし <em>XN-NVT-RZC64ECC.com</em>.</p></li>
</ul>
<h2>HTTPスプーフィングを防ぐ方法?</h2>
<ul>
<li>エンドユーザーの場合:攻撃者が電子メールでIDNホモグラフを送信したり、Webコンテンツに含めることを防ぐことはできません. 被害者になることを避けることができる唯一の方法は、Webブラウザのアドレスバーをチェックして正当なWebサイトにいることを確認することです。.</li>
<li>ドメイン所有者の場合:ドメイン名に均一なホモグリフがある文字が含まれている場合、HTTPスプーフィングを防ぐ方法はありません. 多くのレジストラは、特に登録前にホモグラフ/ホモグリフ攻撃から保護するために登録する前にIDNでドメインを手動でチェックしますが、これを行わないレジストラがいくつかあり、攻撃者はいつでも選択できます。. これは、ホモグリフドメイン名の作成を防ぐための実用的な方法とあなたのように見えるウェブサイトがないことを意味します.</li>
</ul>
<h2>HTTPスプーフィングを緩和する方法?</h2>
<ul>
<li>エンドユーザーの場合:一部のソースは、Google Chromeに組み込まれたものやLastPassのような外部のパスワードマネージャーを使用するために、HTTPスプーフィングを緩和することを推奨しています。. このようなツールは、アドレスバーのドメインがファイルのドメインと一致する場合にのみ、パスワードフォームをオートコンプリートします. これは、偽のドメインにアクセスしている場合、パスワードフィールドに自動的に入力できないことを意味します。. ただし、オンラインパスワードマネージャーが自分の脆弱性を持っていることが知られていることに注意してください.</li>
<li>ドメイン所有者の場合:ドメインがHTTPスプーフィング攻撃でターゲットを絞っていると思われる場合は、通常のマーケティングおよび通信チャネルを通じてユーザーに警告することが最善です. これは、ユーザーがサイバー犯罪者に機密情報を提供したり、他の方法でサイバーセキュリティを侵害したり、合法的なサイトを信じることが責任を負うなど、潜在的な結果を緩和するのに役立ちます。.</li>
</ul>
<h2>よくある質問</h2>
<h4>HTTPスプーフィングとは何ですか?</h4>
<p>HTTPスプーフィングは、視覚的に正当なドメインに似ている名前を作成することにより、ユーザーが悪意のあるドメインを訪問または信頼することに依存しています. それは中間の攻撃(MITM)の一種と考えられていますが、フィッシング攻撃にもよく使用されます.</p>
<h4>HTTPスプーフィングはどれほど危険です?</h4>
<p>HTTPスプーフィングは、ほとんどのブラウザがPunycodeを使用してアドレスバーにURLを表示し、ユーザーが攻撃の試みをすばやく識別できるため、それほど危険とは見なされません。. また、中間攻撃で使用されるHTTPスプーフィングの場合、ARPスプーフィング、IPスプーフィング、DNSキャッシュ中毒などの他の手法と組み合わせる必要があります。.</p>
<h4>HTTPスプーフィング攻撃を防ぐ方法?</h4>
<p>HTTPスプーフィング攻撃を防ぐ最良の方法は、最新のブラウザを使用し、常にアドレスバーを注意深く見ることです. HTTPスプーフィング攻撃では、最新のブラウザのアドレスバーには、正当なドメイン名のようには見えません。.</p>
<h2>なぜDNSのスプーフィングがHTTPSサイトに対して機能しないのか? [複製]</h2>
<p>SSLを使用すると、Aginst DNSスプーフィングをどのように保護しますか? DNSはより低いレベルであり、ユーザーがHTTPまたはHTTPSサイトにアクセスしているかどうかにかかわらず、常に同じように機能しています.</p>
3,944 50 50ゴールドバッジ72 72シルバーバッジ1281 1281ブロンズバッジ
2015年7月18日18:51に尋ねた
391 1 1ゴールドバッジ3 3シルバーバッジ6 6ブロンズバッジ
<h2>2回答2</h2>
<p>SecureSiteのためにDNSキャッシュを毒することができたと仮定します.あなたが制御するIPを持つcom. さて、クライアントがhttps:// secureSiteにアクセスしたとき.com、IPアドレスに解決します. SSLハンドシェイクプロセスの一部として、サーバーはSecureSiteの有効な証明書を送信する必要があります.公開キーを含むcom.</p>
<p>この時点で、2つのオプションがあります.</p>
<p>1)正当な証明書を送信します. これは、証明書が信頼できるCAによって署名されているため、チェックアウトされます. クライアントは、公開キーを使用してマスターシークレットを暗号化します. この時点で故障します。秘密鍵がなければ、マスターシークレットを解読できないため、接続セットアップを完了できないため.</p>
<p>2)自己署名証明書を送信します. ただし、信頼できるCAによって署名されていないため、クライアントのブラウザに警告が表示されます. クライアントがとにかく続行することを選択した場合、攻撃を正常に実行しました.</p>
<p>DNSスプーフィングは、クライアントが警告サインを無視することを選択しない限り、またはサイトの秘密鍵を取得できない場合を除き、通常、HTTPS Webサイトでは動作しません.</p>