(OWASP汉化)攻击系列大全(四十二):中间人攻击(MITM)

最新版本(mm/dd/yy):08/31/2015
翻译至Man-in-the-middle attack

概述

中间人攻击(The man-in-the middle attack)拦截两个系统之间的通信。例如,在http事务中,目标是客户端和服务器之间的TCP连接。使用不同的技术,攻击者将原始的TCP连接拆分成2个新的连接,一个在客户端和攻击者之间,另一个在攻击者和服务器之间,如图1所示(原文丢失了图1,笑哭,灵魂画师决定修复图1)。一旦TCP连接被拦截,攻击者就会像一个代理,能够读取,插入和修改被拦截通信中的数据

MITM攻击非常有效,因为http协议的性质和数据传输都是基于ASCII的。通过这种方式,可以在http协议中查看和采访,也可以在传输的数据中查看和访问。因此,例如,可以通过读取http头来获取会话cookie,但也可以在应用程序上下文中更改金额的交易量,如图2所示。

图2
(图2.使用Paros代理拦截的HTTP数据包的图示。)

通过使用相同的技术,MITM攻击也可以通过https连接完成;唯一的区别在于建立两个独立的SSL会话,每个TCP连接一个。浏览器与攻击者建立SSL连接,攻击者与Web服务器建立另一个SSL连接。一般来说,浏览器警告用户使用的数字证书无效,但用户可能会忽略警告,因为他不了解威胁。在某些特定情况下,可能不会出现警告,例如,当服务器证书被攻击者破坏或攻击者证书由可信CA签署且CN与原始网站相同时

MITM不仅是一种攻击技术,而且通常在Web应用程序的开发阶段使用,或者用于Web 漏洞评估。

MITM攻击工具

有几种工具可以实现MITM攻击。这些工具在局域网(LAN)网络环境中特别有效,因为它们实现了额外的功能,例如允许拦截主机间通信的ARP欺骗功能。

  • PacketCreator
  • Ettercap
  • Dsniff
  • Cain e Abel

MITM代理工具

代理工具只允许与HTTP协议的各个部分进行交互,例如事务的头部和主体,但不具备拦截客户端和服务器之间的TCP连接的能力。为了拦截通信,有必要使用其他网络攻击工具或配置浏览器。

  • [OWASP WebScarab](OWASP WebScarab)
  • Paros Proxy
  • ProxyFuzz
  • Odysseus Proxy
  • Fiddler (by Microsoft)

实例

待定(TBD)

相关的威胁代理

相关攻击

相关漏洞

相关控件

参考文献