SSLstrip+:绕过HTTPS防护的网络审计利器

于 2024-08-28 08:19:49 发布
阅读量248 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00443/article/details/141621665
版权

SSLstrip+:绕过HTTPS防护的网络审计利器

sslstrip2A mirror of the original SSLstrip+ code by Leonardo Nve项目地址:https://gitcode.com/gh_mirrors/ss/sslstrip2

项目介绍

SSLstrip+ 是由Leonardo Nve开发的一个安全研究工具,旨在展示并利用网络通信中的安全漏洞。它基于著名的Moxie Marlinspike所创建的SSLstrip,并在此基础上进行了升级,引入了规避HTTP严格传输安全(HSTS)机制的新特性。由于特定原因,原作者不得不撤下代码,但幸运的是,我们仍然能够通过当前的镜像访问这一重要工具。对于网络安全研究人员和对Web安全领域感兴趣的开发者来说,这是一个不可或缺的宝库。

项目技术分析

此版本的SSLstrip+不仅仅沿袭了将HTTPS链接降级为HTTP的原始功能,以实现中间人攻击的经典模拟,而且还巧妙地修改了HTML代码中的主机名,以此来绕过HSTS协议所带来的保护。HSTS策略要求浏览器只能通过HTTPS与网站交互,从而阻止了初始的非加密连接尝试。SSLstrip+的独特之处在于其能够动态操纵这些安全层,揭示了在不充分实施或配置HSTS时,网络通信可能遭遇的安全风险。

为了完全发挥SSLstrip+的功能,使用者需搭配一款特殊设计的DNS服务器——dns2proxy,用于中转并恢复因代理更改的DNS信息,确保整个攻击链路的连贯性。这样的组合应用,展现了深度的技术整合能力。

项目及技术应用场景

SSLstrip+主要应用于网络安全测试和渗透测试场景,尤其适用于评估网站对HSTS政策的遵循程度及其防御中间人攻击的能力。安全专业人员可以通过它来模拟真实世界中的攻击,帮助企业和组织识别并加固其在线服务的安全短板,防止敏感数据被窃取。此外,教育和培训环境中,SSLstrip+是一个极佳的教学工具,帮助学生直观理解HTTPS保护的重要性以及绕过此类保护的潜在手段。

项目特点

  1. HSTS规避: 创新性地修改了对HSTS响应的处理方式,使之能在一定条件下绕过这一关键安全特性。
  2. 教育与研究价值: 对于学习网络安全和Web安全机制的研究者来说,提供了宝贵的实践案例。
  3. 集成DNS解决方案: 需要与dns2proxy联合使用,增强了其实战应用的完整性和有效性。
  4. 演示能力: 通过提供的演示视频,直观展示了其工作原理和效果,易于理解和上手。

因此,如果你是致力于提高网络安全性,或者从事网络安全研究的专业人士,SSLstrip+无疑是一个强大的工具,它不仅让你深入理解现代Web安全的复杂性,还能助力你在实际工作中发现并堵塞安全漏洞。不过,请记住,在使用此类工具时始终遵守合法合规的原则,仅用于授权的安全测试环境。

sslstrip2A mirror of the original SSLstrip+ code by Leonardo Nve项目地址:https://gitcode.com/gh_mirrors/ss/sslstrip2

沈书苹Peter
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
利用arpspoof + sslStrip尝试进行arp欺骗
qq_63575829的博客
09-06 179
利用arpspoof + sslStrip尝试进行arp欺骗
使用ettercap和sslstrip进行简单的网络嗅探
weixin_43189623的博客
11-08 2107
ettercap简介 Ettercap刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析。 它主要有2个嗅探选项: UNIFIED,这个模式可以嗅探到网络上的所有数据包,可以选择混杂模式(-p选项)。如果嗅探到的数据包不是ettercap主机的就自动用第3层路由转发。...
推荐开源项目:SSLstrip+
gitblog_00014的博客
06-03 363
推荐开源项目:SSLstrip+ sslstrip2A mirror of the original SSLstrip+ code by Leonardo Nve项目地址:https://gitcode.com/gh_mirrors/ss/sslstrip2 1、项目介绍 SSLstrip+ 是一个由 Leonardo Nve 创建并维护的项目,它最初是对 Moxie 的著名工具 SSLstri...
远程服务身份验证绕过:原理、手段与防护策略
Kali与编程
05-02 506
远程服务身份验证,是在用户尝试访问远程服务器提供的服务时,验证用户身份的过程,这是保证网络安全的第一道防线。总之,远程服务身份验证绕过网络安全的一大威胁,了解其原理与手段,并采取针对性的防护策略,对提升企业与个人的网络安全防护水平至关重要。2017年的WannaCry勒索病毒爆发事件中,黑客利用了Windows系统SMBv1协议中的EternalBlue漏洞,成功绕过了远程服务的身份验证,实现大规模的传播和感染。强密码策略:强制用户设置复杂、独特的密码,并定期更换,同时对连续登录失败的行为进行封锁。
sslstrip+ettercap 对HTTPS/SSL进行攻击
agoago_2009的专栏
03-22 6621
一、安装ettercap 要安装ettercap,需要先安装: 1.libnet-1.1.2.1.tar.gz 2.libpcap-1.0.0.tar.gz 3.ettercap-NG-0.7.3.tar.gz 4.更新gtk2: yum install curl-devel gtk2-devel boost-devel (不然报错Package requirements (gtk+-2
ettercap的中间人欺骗+sslstrip过滤掉https协议
dianyan5615的博客
12-22 253
  环境准备:kali系统   因为kali系统自带ettercap,比较方便, 不需要安装   ifcofing命令查看当前网关 ,当前的IP是:172.16.42.1   查找局域网所有主机   通过netdiscover获取到当前目标IP:172.16.42.131   启动ettercap   启动ettercap , wlan0为网卡端口, -T为...
Android网络编程(六):HTTPS
最高永远来自最下
03-11 400
一、简介 HTTPS 是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份 认证,保护交换数据的隐私与完整性。若是不了解HTTP,请看Android网络编程(五):HTTP协议。 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标 的 HTTP 通道,简单讲是 HTTP 的安全版。即 HTTP 下
基于https的内网嗅探-ssl数据嗅探工具sslstrip
赵一舟的博客
02-16 2854
sslstrip用来嗅探ssl数据,ettercap启动后利用ettercap进行arp欺骗 ettercap -T -q -i wlan0 -M arp:remote /192.168.1.102/ /192.168.1.1/ ettercap使用方法,参数详解: -P 使用插件 -T 使用基于文本界面 -q 启动安静模式(不回显) -M 启动ARP欺骗攻击 /19
sslstrip安装
qq_44881113的博客
08-22 1896
SSLStrip 攻击 SSLstrip 也叫 https 降级攻击,攻击者拦截用户流量后,欺骗用户与攻击者进行 http 通信,攻击者与服务器保持正常通信 (http 或 https),从而获取用户信息。 攻击原理 通过中间人攻击监听 http 流量(自己试验可以通过设置 http 代理) 更改重定向链接中的 location,替换 https 为 http,并记录 更改响应内容中的超链接,替换 https 为 http,并记录 与用户进行 http 通信,与服务器进行 https 通信(记录中本应是 h
sslstrip-master.zip
03-17
SSLStrip是一款强大的网络安全工具,主要用于演示和检测中间人攻击(Man-in-the-Middle,MITM)中的SSL/TLS降级攻击。这个工具是由Moxie Marlinspike开发的,他在2009年的Black Hat安全会议上首次展示了这个工具。在...
bettercap:已弃用,bettercap开发移至此处:https:github.combettercapbettercap
02-05
标题和描述中提到的"bettercap"是一个网络安全工具,它已经被废弃,而其开发工作已经转移到了新的GitHub仓库:https://github.com/bettercap/bettercap。这表明我们要关注的是更新的、活跃的版本,而不是旧的资源。 ...
javaSE手册+阿里java开发手册
08-27
JDK API文档是Java开发工具包中提供的一系列详细说明,用于帮助开发者了解和使用Java的各种功能和类库。JDK API文档详细介绍了Java SE和JDK中的各种模块和API的功能和使用方式。 《阿里巴巴Java开发手册》是阿里巴巴集团技术团队编写的,面向广大Java开发者的一部实用编程规范指南。《阿里巴巴Java开发手册》将编程规约、异常日志、单元测试、安全规约、MySQL数据库以及工程结构等方面内容分为【强制】、【推荐】和【参考】三大类别,以适应不同的应用场景和严格程度需求。
Java项目:基于SSM框架+mysql宠物医院管理系统含源码和毕业论文
最新发布
08-27
一、项目简介 本项目是一套基于SSM框架+mysql宠物医院管理系统含源码和毕业论文 包含:项目源码、数据库脚本等,该项目附带全部源码可作为毕设使用。 项目都经过严格调试,eclipse或者idea 确保可以运行! 该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值 二、技术实现 jdk版本:1.8 及以上 ide工具:IDEA或者eclipse 数据库: mysql5.5及以上 后端:spring+springmvc+mybatis+maven+mysql 前端: vue , css,js 三、系统功能 1、系统角色主要包括:管理员、用户、医生 2、系统功能 主要功能包括: 首页 个人中心 修改密码 医生管理 用户管理 医院进驻管理 申请情况管理 医院信息管理 医生信息管理 在线问诊管理 问诊回复管理 宠物信息管理 我的收藏管理 前台主要功能包括: 用户登录 用户注册 医生注册 首页 医院信息展示 医生信息展示 在线问诊 个人中心 我的收藏 后台管理等
springboot408网上商品订单转手系统bootpf.zip
08-27
网上商品订单转手系统在对开发工具的选择上也很慎重,为了便于开发实现,选择的开发工具为Eclipse,选择的数据库工具为Mysql。以此搭建开发环境实现网上商品订单转手系统的功能。其中管理员管理用户,新闻公告。 网上商品订单转手系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,网上商品订单转手系统都可以轻松应对。
山东学位英语汉译英复习资料,祝愿大家都考过,加油
08-27
山东学位英语汉译英复习资料,祝愿大家都考过,加油
java基于ssm+jsp图书管理系统源码 带毕业论文+PPT
08-27
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
springboot414社区防疫物资申报系统--pf.zip
08-27
社区防疫物资申报系统可以对社区防疫物资申报系统信息进行集中管理,可以真正避免传统管理的缺陷。社区防疫物资申报系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,社区防疫物资申报系统都可以轻松应对。所以,社区防疫物资申报系统的运用是让社区防疫物资申报系统信息管理升级的最好方式。它可以实现信息处理的便利化要求,还可以规范信息处理的流程,让事务处理成为管理人员手中的一件简单事,而不是之前手工处理时的困难事。尽管社区防疫物资申报系统具备较完善的功能,但是也需要管理人员利用闲暇时间提升自身素质以及个人能力,在操作社区防疫物资申报系统时可以最大化运用社区防疫物资申报系统提供的功能,让系统在满足高效率处理数据的同时,也能始终稳定运行,还可以确保数据的可靠性与数据处理的质量。
2009-2019年中国适婚年龄人口比例.xls
08-27
特点:全新整理,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 适用对象:大学生,本科生,研究生小白可用,容易上手!!! 课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
【流量劫持】SSLStrip 的未来 —— HTTPS 前端劫持
06-12
对于SSLStrip这种 HTTPS 中间人攻击工具,随着越来越多的网站采用了 HTTPS 加密技术,它的作用已经被大大降低。但是,一些黑客仍然会使用类似的工具来进行前端劫持攻击,其原理是通过将 HTTPS 网站中的一些资源(如图片、脚本等)全部转换为 HTTP 请求,然后将这些请求重定向到攻击者控制的服务器上,从而实现数据篡改、窃取等恶意行为。这种攻击方式被称为 HTTPS 前端劫持。 未来,随着互联网的发展和技术的进步,我们可以预见,HTTP/HTTPS 协议肯定还会有一些新的变化和漏洞出现,黑客们也会继续寻找和利用这些漏洞进行攻击。因此,保护网站和用户的信息安全仍然是一个持续的任务,需要我们不断地加强安全意识,采取更加严格的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沈书苹Peter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值