. В прошлом году я предположил, что принятие HTTPS прошло «переломным моментом», то есть оно прошло момент критической массы и, как я сказал в время, «очень скоро станет нормой». С тех пор доля веб-страниц, загружаемых через безопасное соединение, выросла с 52% до 71%, тогда как доля лучших 1 млн. Сайтов в мире, перенаправляющих людей на HTTPS, сократилась с 20% до примерно половины (прогнозируемых). Быстрое принятие было обусловлено сочетанием все более видимых предупреждений браузера (это были изменения Chrome и Firefox, которые вызвали вышеупомянутую отправную точку), более доступные для доступа сертификаты через Let's Encrypt и Cloudflare и растущее понимание рисков, которые были незашифрованы трафика. Даже правительство настаивает на принятии HTTPS для всех сайтов, например, в этом сообщении Национальным центром кибербезопасности в Великобритании:
все веб-сайты должны использовать HTTPS, даже если они не включают в себя личный контент, страницы входа или данные кредитной карты
Тем не менее, по-прежнему остается недоразвитость инакомыслия; Скотт Хельм недавно написал об этом и развеял многие мифы, которые люди не обеспечивали своим движением. Я поделился некоторыми соображениями о том, что, как я подозреваю, настоящее возражение в tweet thread, начинающемся с этого только несколько дней назад:
Я формирую теорию о тех, кто осуждает широкое внедрение HTTPS: я подозреваю, что они отталкиваются, потому что чувствуют, что они потеряли контроль; их «вынуждают» двигаться из-за надвигающихся изменений в Chrome, в частности
— Трой Хант (@troyhunt) 8 июля 2018 года
В одном из многих надежных интернет-дебатов (как это и происходит в Twitter) дискуссия превратилась в ценностное предложение HTTPS на статическом веб-сайте. Это необходимо? Это хорошо? Что это на самом деле защищает? Я искал возможность собрать некоторые материалы именно по этой теме, поэтому, когда обсуждение в конечном итоге привело к такому предложению, казалось, что идеальное время для написания этого сообщения:
На самом деле, это прекрасно, я искал кого-то, желающего иметь статический сайт, который, по их мнению, не защищен от рисков транспортного уровня, используемых в видео на этом. Спасибо!
— Трой Хант (@troyhunt) 5 июля 2018 года
И, чтобы быть лишним, лишний раз, это было намерением Якова, он позже распространил одно и то же предложение на другую сторону, а также (совершенно справедливо, на мой взгляд) заметил, что разрешение действительно не нужно человеку посередине вашего трафик! Так что это именно то, что я сделал — перехватил мой собственный трафик, переданный через небезопасное соединение, и собрал ряд демонстраций в 24-минутном видео, объясняющем, почему HTTPS необходим на статичном веб-сайте. Вот видео и есть ссылки и образцы кода для всех демонстраций, используемых сразу после этого:
Содержание статьи
HTTPS is Easy
Серия видеороликов HTTPS Is Easy — это 4 коротких видеоролика длиной около 5 минут, которые делают его мертвым простым для обслуживания практически любого сайта по безопасному соединению. Мало того, что серия видео удивительна (IMHO), удивительное сообщество людей, которые смотрели это, перевело закрытые титры на 16 разных языков, что делает HTTPS более доступным для большего количества людей, чем когда-либо!
Wi-Fi Ананас
Wifi Pineapple — это супер-легкое маленькое устройство, созданное Hak5, которое не только упрощает работу в качестве беспроводной точки доступа, но и позволяет обмануть устройства, думая, что это известная сеть, с которой они автоматически подключаются без какого-либо взаимодействия с пользователем. Я сделал кучу написания на этом маленьком устройстве и регулярно использовал его на конференциях и учебных мероприятиях.
ClippyJS
Все любят немного Клиппи, просто пока это в шутку! Я сделал эту демонстрацию с ClippyJS, и если вы действительно хотите пережить воспоминания о прошедших днях, вы также можете встроить Merlin, Rover и Links, а затем организовать их поведение с помощью набора действий, вызываемых в JS.
Cornify
Кто не любит единорогов, правда ?! Cornify поможет вам оживить эти скучные страницы волшебными животными и радугами. Поставляется с кнопками Cornify для добавления на ваш сайт (или чужой).
Гарлем Шейк
На самом деле это немного больше, чем просто развлекательная ценность, Harlem Shake регулярно используется как «доказательство» для запуска скрипта на уязвимом сайте. Например, проверьте, как он используется, когда он встроен в запись TXT записи DNS, которая затем загружается в службу WHOIS, которая неправильно выводит кодировку результатов. Кроме того, Brenno de Winter — отличный пример недостатков XSS в голландских банках, снова продемонстрированный с помощью большого тряски. Захватите весь скрипт, а затем приложите по мере необходимости.
Cryptominer
Я использовал Coinhive, который предлагает «Монетизировать свой бизнес с помощью вашего процессора». Честно говоря, это довольно теневое служение, регулярно злоупотребляемое вредоносными целями, но это было именно то, что требовалось в этой ситуации.
Маршрутизатор CSRF Exploit
Это от CVE-2018-12529, и образец эксплойта был взят из блога SecurityResearch101. Мы часто видели, что атаки CSRF на маршрутизаторы приводят к угону DNS, что, конечно же, представляет собой еще один риск, который защищает HTTPS. Мы знаем об этом в течение многих лет, в том числе о том, как доходы от этого преступления были использованы для оплаты бразильских проституток.
DNS Hijacking
Это было сделано всего несколькими строками FiddlerScript в событии OnBeforeRequest:
if (oSession.HostnameIs ("btlr.com")) {
oSession.hostname = "scripting.com";
}
Использовали ли вы устройство, например, Wifi Pineapple, вы можете добиться того же результата с помощью DNSspoof. Результат идентичен — трафик, идущий на один небезопасный адрес, приводит к трафику с совершенно другого адреса, возвращаемого.
Великая пушка Китая
Это была атака в 2015 году, которая пыталась уничтожить GitHub, или, по крайней мере, там хранится хранилище greatfire.org. Я показал де-обфускацию версию в видео, которое вы можете найти на Pastebin. Оригинальную версию и более подробную техническую запись об этом инциденте можно найти в этой статье от Netresec. Кстати, Baidu по-прежнему по умолчанию не обслуживает свою домашнюю страницу по HTTPS (хотя он может служить действительным сертификатом, если явно запрашивается через HTTPS), что дает услуге незавидное звание самого крупного в мире веб-сайта так по словам Алекса.
Говядина
Это, для меня, было самым впечатляющим демо не только потому, что оно привело к тому, что на целевом веб-сайте было наложено вредоносное ПО и фишинг-атаки, а потому, что он показывает, насколько контроль над злоумышленником может пережить опыт просмотра пострадавших на этом сайте , Посмотрите на веб-сайт проекта BeEF, чтобы узнать больше об этом, и если вы хотите реализовать демонстрационную версию, которую я запускал, перейдите и захватите Kali Linux из VMDepot (теперь он перешел на Azure Marketplace) и разверните его непосредственно в Azure VM (я использовал самый маленький размер, и он отлично работал). Я разрешил входящие запросы на порт 80, а также порт 22, чтобы я мог использовать SSH. Затем я изменил порт с 3000 на 80 в файле config.yaml (см. Документацию по конфигурации BeEF), включил файл сценария из [vm ip] /hook.js на сайте жертвы, просмотренной до [vm ip] / ui / panel и вошел в систему с «говядиной» и «говядиной». Вот и все!
Рик Ролл
Этого не нужно вводить, выходя на половину просмотров миллиарда на YouTube, это сюрприз, который продолжает давать!
Загрузка...
