Размер видео: 1280 X 720853 X 480640 X 360
Показать панель управления
Автовоспроизведение
Автоповтор
HSTS はなんとなく知ってたけど、ブラウザ側で証明書を無視した接続ができなくなるのを知らなかった...curl を使った場合とか、例えば Python の urllib とか、非ブラウザでの挙動を確認してみたくなった。
感想ありがとうございます。curl 7.79.1 (Windows)で試したところ、HSTSがあっても、証明書無視のオプション -k を指定するとダウンロードできました。そういうものなんだろうとは思いましたが。
口座の残高が妙にリアルw
被害者が攻撃者のAPと偽DNSを経由したとき、ブックマークからの遷移先が攻撃者のウェブということはないのでしょうか?その場合は、httpsであることはセキュリティ上どのような意味をなすのでしょうか?証明書エラーが起きますか?また、APに設定するDNSの他に個々の端末にもDNSは設定できると思うのですが、端末に設定したDNSが優先されるのなら、これはセキュリティ対策になるのでしょうか?それとも優先するDNSというのは、なんらかの強制する手段があるのでしょうか?
ブラウザのブックマーク上はホスト名が記載されていますから、偽DNSが返すIPアドレスは偽物という可能性はあります。しかし、HTTPSでアクセスしていれば証明書のエラーになるのでその時点でアクセスをやめれば大丈夫です。また、AP接続後にDNS設定を8.8.8.8などに変更すればよい…とは限らず、例えばすべてのDNSリクエストを偽DNSサーバーに向けてしまう攻撃はできますので、十分な対策にはなりません。最終的には「偽ものだったらTLSの証明書エラーになる」ところで止めるしかありません。
初歩的な質問で申し訳ないのですが、burp suiteを間に挟むとブラウザの証明書エラーになるのはなぜでしょうか?
Burp Suiteを挟んだ場合、ブラウザからはBurp Suiteがウェブサーバーに見えます。ブラウザは証明書の検証をしますが、Burp Suite側は「ブラウザに信頼されていないルート証明書」で当該サイトの証明書を生成するので、ブラウザ側で証明書エラーになります。これを避けるために、予めブラウザにBurp Suiteのルート証明書をインストールしたりしますが、この動画では一般の状況としてBurp Suiteのルート証明書を導入していないブラウザでデモをしています。
盗聴についてはおっしゃる通りですが、偽Wi-Fiからウィルスをこっそりインストールされる可能性はないのでしょうか。
ご指摘の通りで、それは別の動画で説明しています ruclips.net/video/qMbB9DUkz-k/видео.html
先生のように実演ではなく、机上の空論ですので未確認で恐縮ですが・・・https対応のプロキシサーバは、通信内容を一度デクリプションするという挙動を利用する手を思いついてしまいました。(通常でこのようなことを行う場合、無許可で行うのは法的に問題ありだと思いますので、攻撃者は無法者という前提です)https対応のプロキシサーバを偽APのネットワーク内に稼働させ、DHCPによるIPアドレス配布時に、WPADでプロキシ設定を端末へ設定通知することで、接続する端末によってはプロキシサーバで盗聴が可能かもしれないと思いました。Windows10では「自動プロキシセットアップ」の設定で「自動的に検出」が初期値ONのため、Windows10ではWPADによるプロキシサーバの設定が可能では?と考えております。
そのような攻撃は、BurpSuiteのような脆弱性診断用のローカルPROXYを挟んだような状況が該当します。この場合、ブラウザでは証明書のエラーが表示されるので利用者は攻撃に気づくことができます。BurpSuite等は、ブラウザでエラー表示されないようにCA証明書をブラウザにインストールできますが、それをしない限りエラーになりますし、CA証明書を導入してしまう・導入されるというのはウイルス感染と同等のリスクですのですし、それができる状況であれば攻撃者はウイルスをインストールした方が色々なことができる、ということになります。
@@ockeghem0621 返信ありがとうございます。やはり自分で環境を作って確認しないとダメですね。過去に Fiddler で https をキャプチャし、内容を見やすいよう形に表示するプログラムを自作したことがありましたので記載してみた次第です。数年前のことで記憶があやふやですが、Fiddler 側で証明書の登録がありましたがブラウザ側ではエラーにならなかったのは、Fiddler とブラウザが同一端末の為、証明書問題がおきていなかったことに気づいていませんでした。大変勉強になりました。
FIddlerでHTTPSをキャプチャするにはDecrypt HTTPS traficというオプションをOnにする必要がありますが、そうするとルート証明書を導入するかどうかを問い合わせる画面が表示され、Yesを選択すると導入されます。Noのままでも復号はできますが、ブラウザでエラーが表示されます。おそらくその操作をしているのでしょう。Fiddlerとブラウザが同一端末であっても、証明書問題は回避できません。
@@ockeghem0621 まさにおっしゃるとおりで、Microsoft Docs「Fiddler を使用して Web 要求をキャプチャする」(URLを記載するとSPAM扱いになる可能性がありますのでタイトル記載にしております)に記載があるとおり、[HTTPS トラフィックの復号化]で「ルート証明書について尋ねるダイアログ ボックスで、 [はい] を選択します。」を行っていました。証明書を PC の信頼済みルートのリストに追加しないとダメですね。
TLSレベルの話位までは一般も考えてるのかと思ってるが…勿論機密に関してはVPNは必須だと思うが?世間ってどうなんだ?
HSTS はなんとなく知ってたけど、ブラウザ側で証明書を無視した接続ができなくなるのを知らなかった...
curl を使った場合とか、例えば Python の urllib とか、非ブラウザでの挙動を確認してみたくなった。
感想ありがとうございます。curl 7.79.1 (Windows)で試したところ、HSTSがあっても、証明書無視のオプション -k を指定するとダウンロードできました。そういうものなんだろうとは思いましたが。
口座の残高が妙にリアルw
被害者が攻撃者のAPと偽DNSを経由したとき、ブックマークからの遷移先が攻撃者のウェブということはないのでしょうか?
その場合は、httpsであることはセキュリティ上どのような意味をなすのでしょうか?証明書エラーが起きますか?
また、APに設定するDNSの他に個々の端末にもDNSは設定できると思うのですが、端末に設定したDNSが優先されるのなら、これはセキュリティ対策になるのでしょうか?
それとも優先するDNSというのは、なんらかの強制する手段があるのでしょうか?
ブラウザのブックマーク上はホスト名が記載されていますから、偽DNSが返すIPアドレスは偽物という可能性はあります。しかし、HTTPSでアクセスしていれば証明書のエラーになるのでその時点でアクセスをやめれば大丈夫です。また、AP接続後にDNS設定を8.8.8.8などに変更すればよい…とは限らず、例えばすべてのDNSリクエストを偽DNSサーバーに向けてしまう攻撃はできますので、十分な対策にはなりません。最終的には「偽ものだったらTLSの証明書エラーになる」ところで止めるしかありません。
初歩的な質問で申し訳ないのですが、burp suiteを間に挟むとブラウザの証明書エラーになるのはなぜでしょうか?
Burp Suiteを挟んだ場合、ブラウザからはBurp Suiteがウェブサーバーに見えます。ブラウザは証明書の検証をしますが、Burp Suite側は「ブラウザに信頼されていないルート証明書」で当該サイトの証明書を生成するので、ブラウザ側で証明書エラーになります。これを避けるために、予めブラウザにBurp Suiteのルート証明書をインストールしたりしますが、この動画では一般の状況としてBurp Suiteのルート証明書を導入していないブラウザでデモをしています。
盗聴についてはおっしゃる通りですが、偽Wi-Fiからウィルスをこっそりインストールされる可能性はないのでしょうか。
ご指摘の通りで、それは別の動画で説明しています ruclips.net/video/qMbB9DUkz-k/видео.html
先生のように実演ではなく、机上の空論ですので未確認で恐縮ですが・・・
https対応のプロキシサーバは、通信内容を一度デクリプションするという挙動を利用する手を思いついてしまいました。(通常でこのようなことを行う場合、無許可で行うのは法的に問題ありだと思いますので、攻撃者は無法者という前提です)
https対応のプロキシサーバを偽APのネットワーク内に稼働させ、DHCPによるIPアドレス配布時に、WPADでプロキシ設定を端末へ設定通知することで、接続する端末によってはプロキシサーバで盗聴が可能かもしれないと思いました。
Windows10では「自動プロキシセットアップ」の設定で「自動的に検出」が初期値ONのため、Windows10ではWPADによるプロキシサーバの設定が可能では?と考えております。
そのような攻撃は、BurpSuiteのような脆弱性診断用のローカルPROXYを挟んだような状況が該当します。この場合、ブラウザでは証明書のエラーが表示されるので利用者は攻撃に気づくことができます。BurpSuite等は、ブラウザでエラー表示されないようにCA証明書をブラウザにインストールできますが、それをしない限りエラーになりますし、CA証明書を導入してしまう・導入されるというのはウイルス感染と同等のリスクですのですし、それができる状況であれば攻撃者はウイルスをインストールした方が色々なことができる、ということになります。
@@ockeghem0621 返信ありがとうございます。やはり自分で環境を作って確認しないとダメですね。
過去に Fiddler で https をキャプチャし、内容を見やすいよう形に表示するプログラムを自作したことがありましたので記載してみた次第です。数年前のことで記憶があやふやですが、Fiddler 側で証明書の登録がありましたがブラウザ側ではエラーにならなかったのは、Fiddler とブラウザが同一端末の為、証明書問題がおきていなかったことに気づいていませんでした。大変勉強になりました。
FIddlerでHTTPSをキャプチャするにはDecrypt HTTPS traficというオプションをOnにする必要がありますが、そうするとルート証明書を導入するかどうかを問い合わせる画面が表示され、Yesを選択すると導入されます。Noのままでも復号はできますが、ブラウザでエラーが表示されます。おそらくその操作をしているのでしょう。Fiddlerとブラウザが同一端末であっても、証明書問題は回避できません。
@@ockeghem0621 まさにおっしゃるとおりで、Microsoft Docs「Fiddler を使用して Web 要求をキャプチャする」(URLを記載するとSPAM扱いになる可能性がありますのでタイトル記載にしております)に記載があるとおり、[HTTPS トラフィックの復号化]で「ルート証明書について尋ねるダイアログ ボックスで、 [はい] を選択します。」を行っていました。証明書を PC の信頼済みルートのリストに追加しないとダメですね。
TLSレベルの話位までは一般も考えてるのかと思ってるが…
勿論機密に関してはVPNは必須だと思うが?世間ってどうなんだ?