• نحوه رهگیری اطلاعات از طریق وای فای اندروید یک راه آسان برای سرقت یک کوکی اقدامات متقابل در برابر استخراج اطلاعات از کوکی ها که در سمت مشتری انجام می شود

    کاربران اینترنت به قدری بی توجه هستند که به راحتی داده های محرمانه را از دست می دهند. 42.tut آزمایشی انجام داد تا نشان دهد که در شبکه‌های Wi-Fi عمومی چند سوراخ وجود دارد. نتیجه ناامید کننده است: هر کسی بدون مهارت و دانش خاص می تواند یک پرونده کامل در مورد شخصی که فقط از یک شبکه بی سیم باز استفاده می کند جمع آوری کند.

    برای آزمایش، چندین برنامه نصب شد. آنها از نظر عملکرد متفاوت هستند، اما ماهیت یکسانی دارند - جمع آوری همه چیزهایی که از شبکه ای که دستگاه به آن متصل است می گذرد. هیچ یک از برنامه ها خود را به عنوان "دزدان دریایی"، "هکر" یا غیرقانونی قرار نمی دهند - آنها را می توان بدون مشکل در شبکه بارگیری کرد. این آزمایش در یک مرکز خرید با وای فای رایگان انجام شد.

    استراق سمع

    ما به Wi-Fi متصل می شویم: هیچ رمز عبوری وجود ندارد، نام شبکه حاوی کلمه "رایگان" است. ما شروع به اسکن می کنیم، یکی از برنامه ها بلافاصله 15 اتصال به شبکه را پیدا می کند. همه می توانند آدرس IP، آدرس MAC را ببینند، برخی از آنها نام سازنده دستگاه را دارند: Sony، Samsung، Apple، LG، HTC…

    لپ تاپ "قربانی" را در بین دستگاه ها پیدا می کنیم. ما به آن متصل می شویم - داده هایی که از طریق شبکه عبور می کنند شروع به ظاهر شدن روی صفحه می کنند. تمام اطلاعات بر اساس زمان ساختار یافته است، حتی یک نمایشگر داخلی از داده های رهگیری شده وجود دارد.

    شناسایی کاربر

    ما به تماشای ادامه می دهیم. بدیهی است که یک بازی آنلاین در لپ تاپ شریک شروع شده است: دستورات برنامه دائماً از شبکه خارج می شوند ، اطلاعاتی در مورد وضعیت در میدان جنگ دریافت می شود. شما می توانید نام مستعار حریفان، سطوح بازی آنها و بسیاری موارد دیگر را مشاهده کنید.

    پیام "VKontakte" می آید. در یکی از مشخصات دقیق پیام متوجه می شویم که شناسه کاربری در هر یک از آنها قابل مشاهده است. اگر آن را در مرورگر جایگذاری کنید، حساب شخصی که پیام را دریافت کرده باز می شود.

    "قربانی" در این زمان پاسخی به پیام می نویسد و به وضوح متوجه نمی شود که ما با قدرت و اصلی به عکس های موجود در حساب او خیره شده ایم. یکی از برنامه های شبکه اجتماعی یک سیگنال می دهد - ما می توانیم به این صدا در پخش کننده گوش دهیم.

    رمزها و پیام ها

    عکس‌ها و صداها از همه چیزهایی که می‌توان در اختیار Wi-Fi موجود قرار داد بسیار دور است. به عنوان مثال، در یکی از برنامه ها یک تب جداگانه برای ردیابی دقیق مکاتبات در شبکه های اجتماعی و پیام رسان های فوری وجود دارد. پیام ها بر اساس زمان ارسال رمزگشایی و مرتب می شوند.

    نشان دادن مکاتبات شخص دیگری فراتر از خیر و شر است. اما کار می کند. به عنوان یک تصویر - بخشی از گفتگوی نویسنده متن که توسط رایانه ردیابی از دستگاه "قربانی" گرفته شده است.

    برنامه دیگری به طور جداگانه تمام کوکی ها و اطلاعات کاربر از جمله رمزهای عبور را "پشته" می کند. خوشبختانه، به شکل رمزگذاری شده، اما بلافاصله پیشنهاد می کند یک ابزار نصب کنید که آنها را رمزگشایی می کند.

    نتیجه گیری

    تقریباً هر اطلاعاتی را می توان از طریق Wi-Fi از دست داد. بسیاری از شبکه های عمومی به هیچ وجه هیچ گونه حفاظتی و حتی گاهی اوقات رمز عبور را نشان نمی دهند. این بدان معنی است که ترافیک همکاران، دوستان یا افراد غریبه می تواند توسط هر کسی رهگیری شود.

    مطمئن ترین راه برای خروج از این وضعیت یکی است: هیچ اطلاعات مهمی را از طریق شبکه های عمومی مخابره نکنید. به عنوان مثال تلفن و رمز عبور را در پیام ارسال نکنید و با کارت پرداخت خارج از منزل پرداخت نکنید. خطر از دست دادن اطلاعات شخصی بسیار زیاد است.

    روش قدیمی است، اما موثر است، ما همه چیز را با آن انجام خواهیم داد رهگیری
    1. دانلود برنامه sniff.su
    2. ما شروع می کنیم، یک شبکه را انتخاب می کنیم، نوع را تغییر می دهیم اترنت/وای فایاگر تو داری وای فایسپس باید نماد را انتخاب کنید وای فای(در سمت چپ انتخاب شبکه)

    SpoilerTarget">Spoiler

    3. دکمه را فشار می دهیم حالت اسکن(نماد رادار)
    در یک قسمت خالی، راست کلیک کرده و در منوی زمینه کلیک کنید اسکن هوشمند.
    تمام دستگاه های متصل به شبکه نشان داده می شود. قربانی را انتخاب کنید (با فشار دادن کلید می توانید همه را انتخاب کنید تغییر مکان، فقط خود روتر را علامت گذاری نکنید، آن است IPمعمولا 192.168.1.1
    با انتخاب راست کلیک کنید و کلیک کنید به nat اضافه کنید

    SpoilerTarget">Spoiler

    4. به برگه بروید نات
    که در IP مخفیانهتوصیه می شود آخرین رقم را به هر رقم خالی تغییر دهید، این امر واقعی شما را پنهان می کند IP.
    علامت تیک بزنید نوار SSLو SSL Mitm.(V 0.9.10 روی چشم در کلاه کلیک کنید و آنجا را انتخاب کنید)

    SpoilerTarget">Spoiler

    5. کلیک تنظیمات(دنده سمت راست).
    تیک بزنید رستاخیز(این کار رمز عبور و کوکی های رمزگذاری شده را رهگیری می کند HTTPSپروتکل) و حذف کنید جعل IP/Mac. می توانید علامت را بزنید قاتل کوکی، به لطف او، قربانی از صفحه فعلی، به عنوان مثال، یک شبکه اجتماعی به بیرون پرتاب می شود و قربانی باید رمز عبور را دوباره وارد کند و ما آن را رهگیری می کنیم. تنظیمات را با تصویر مقایسه کنید.

    SpoilerTarget">Spoiler

    6. دکمه بالا را فشار دهید شروع/ توقف بوییدن(مثلث)، در همان پنجره بر روی نماد تابش زیر کلیک کنید Start/Stop ARP Poison.به برگه بروید حالت رمز عبورو در پنجره کلیک راست کرده و انتخاب کنید نمایش کوکی ها("این کوکی ها و رمزهای عبور وارد شده توسط قربانیان را نشان می دهد")
    همه چیز، ما منتظر کسی هستیم که رمز عبور را وارد کند. گاهی اوقات این اتفاق می افتد که اینترنت از کار می افتد، سعی کنید خودتان به اینترنت دسترسی داشته باشید، اگر کار نکرد، برنامه را مجددا راه اندازی کنید.
    من متوجه شدم که همیشه نمی توان رمز عبور را رهگیری کرد، اما در واقع تقریباً بدون شکست کار می کند.

    سلام دوستان.

    همانطور که قول داده بودم، در مورد برنامه Intercepter-ng ادامه می دهم.

    امروز یک بررسی در عمل وجود خواهد داشت.

    هشدار: تنظیمات را تغییر ندهید یا تنظیمات را بی‌احتیاطی فشار ندهید. در بهترین حالت، ممکن است به سادگی کار نکند یا وای فای را قطع کنید. و من موردی داشتم که تنظیمات روتر ریست شده بود. پس فکر نکنید که همه چیز بی ضرر است.

    و حتی با تنظیمات مشابه من به این معنی نیست که همه چیز به آرامی کار خواهد کرد. در هر صورت، برای موارد جدی، باید عملکرد همه پروتکل ها و حالت ها را مطالعه کنید.

    شروع کنیم؟

    رهگیری کوکی ها و رمزهای عبور

    بیایید با رهگیری کلاسیک رمزهای عبور و کوکی ها شروع کنیم، در اصل، فرآیند مانند مقاله رهگیری رمزهای عبور از طریق WiFi و رهگیری کوکی ها از طریق Wi Fi است، اما من دوباره آن را با توضیحات بازنویسی می کنم.

    به هر حال، آنتی ویروس ها اغلب می توانند چنین مواردی را شلیک کنند و رهگیری داده ها را از طریق Wi FI کاهش دهند

    اگر قربانی در یک دستگاه اندروید یا IOS است، اگر قربانی در یک کلاینت اجتماعی برای VK باشد، فقط می‌توانید از آنچه قربانی فقط در مرورگر وارد می‌کند قانع باشید (گذرواژه، سایت‌ها، کوکی‌ها) توقف کار. در آخرین نسخه Intercepter NG می توانید با تعویض گواهی قربانی مشکل را حل کنید. بیشتر در این مورد بعدا.

    برای شروع، به طور کلی تصمیم بگیرید که چه چیزی باید از قربانی بگیرید؟ شاید به رمز عبور از شبکه های اجتماعی یا شاید فقط از سایت ها نیاز داشته باشید. ممکن است کوکی ها برای شما کافی باشد تا بتوانید فوراً زیر دست قربانی بروید و کاری انجام دهید یا برای ذخیره در آینده به رمزهای عبور نیاز دارید. آیا نیاز به تجزیه و تحلیل بیشتر تصاویر مشاهده شده توسط قربانی و برخی از صفحات دارید یا به این زباله ها نیاز ندارید؟ آیا می دانید که قربانی قبلاً وارد سایت شده است (از قبل در طول انتقال مجاز شده است) یا هنوز داده های خود را وارد می کند؟

    اگر نیازی به دریافت تصاویر از منابع بازدید شده، بخش هایی از فایل های رسانه ای و دیدن برخی از سایت های ذخیره شده در یک فایل html نیست، در تنظیمات - Ressurection غیرفعال کنید. این مقدار بار روی روتر را کمی کاهش می دهد.

    چه چیزی را می توان در تنظیمات فعال کرد - اگر از طریق کابل اترنت متصل هستید، باید Spoof Ip / mac را فعال کنید. همچنین کوکی کش را فعال کنید (به بازنشانی کوکی ها کمک می کند تا قربانی از سایت خارج شود). کشنده کوکی مربوط به SSL Strip Attack است، بنابراین فراموش نکنید که آن را فعال کنید.

    همچنین بهتر است Promiscious (حالت تصادفی) فعال شود، که امکان رهگیری بهتر را فراهم می کند، اما همه ماژول ها از آن پشتیبانی نمی کنند ... حالت افراطی (حالت افراطی) قابل صرف نظر است. با آن، گاهی اوقات پورت های بیشتری را رهگیری می کند، اما اطلاعات اضافی + بارگذاری ...

    ابتدا رابطی را از بالا که از طریق آن به اینترنت متصل هستید و نوع اتصال Wi-Fi یا Ethernet را در صورت اتصال از طریق کابل به روتر انتخاب کنید.

    در حالت اسکن، روی یک قسمت خالی کلیک راست کرده و روی Smart Scan کلیک کنید. تمام دستگاه های موجود در شبکه اسکن می شوند، باقی مانده است که قربانیان لازم را به Add nat اضافه کنید.

    یا می توانید یک IP را قرار دهید، به تنظیمات - حالت متخصص بروید و جعبه سم Auto ARP را علامت بزنید، در این صورت برنامه همه کسانی که متصل هستند و به شبکه متصل هستند را اضافه می کند.

    برای ما باقی مانده است که به حالت Nat برویم.

    روی configure mitms کلیک کنید، در اینجا SSL mitm و SSL strip مفید هستند.

    SSL mitmفقط به رهگیری داده ها اجازه می دهد، اگرچه بسیاری از مرورگرها به آن واکنش نشان می دهند و به قربانی هشدار می دهند.

    نوار SSLبه قربانی این امکان را می دهد که از پروتکل امن Https به HTTP سوئیچ کند و همچنین کوکی کش کار کند.

    ما به هیچ چیز دیگری نیاز نداریم، روی start arp poison (نماد تشعشع) کلیک کنید و منتظر باشید تا قربانی فعال شود.

    در قسمت پسورد حالت کلیک راست کرده و Show coolies را بزنید. سپس می توانید روی کوکی کلیک راست کرده و به آدرس کامل بروید.

    به هر حال، اگر قربانی در شبکه های اجتماعی باشد، به احتمال زیاد مکاتبات فعال او در حالت مسنجر ظاهر می شود.

    Http inject (فایل را برای قربانی ارسال کنید).

    امم، گزینه بسیار شیرین.

    شما می توانید قربانی را برای دانلود فایل لغزش دهید. ما فقط می توانیم امیدوار باشیم که قربانی پرونده را اجرا کند. برای اعتبار، پس از تجزیه و تحلیل سایت‌هایی که قربانی بازدید می‌کند، چیزی شبیه به‌روزرسانی منتشر کنید.

    به عنوان مثال، اگر قربانی در VK است، نام فایل را vk.exe بگذارید. شاید قربانی شروع به تصمیم گیری کند که این مفید است.

    بیا شروع کنیم.


    حالت Brute Force.

    نحوه شمارش و انتخاب پسورد رمزهای عبور.

    یکی از راه‌های استفاده از آن، دسترسی ساده به پنل مدیریت روتر است. و همچنین برخی از پروتکل های دیگر.

    برای بروتوس شما نیاز دارید

    در سرور Target، درایو در آی پی روتر، پروتکل telnet، نام کاربری نام کاربری است، در مورد ما Admin.

    در پایین دکمه ای وجود دارد که پوشه ای روی آن کشیده شده است، روی آن کلیک کرده و لیست رمزهای عبور را باز می کنید (در پوشه ای که برنامه، misc/pwlist.txt لیستی از رمزهای عبور پرکاربرد وجود دارد، یا می توانید از آن استفاده کنید. لیست خودتان).

    پس از بارگیری پرس ها شروع به کار می کنند (مثلث) و به نوشیدن چای می روند.

    اگر مطابقت وجود داشته باشد (رمز عبور انتخاب شده است)، برنامه متوقف می شود.

    شما باید نام کاربری را بدانید. اما اگر می خواهید به روتر دسترسی داشته باشید، ادمین استاندارد را امتحان کنید.

    چگونه یک بروت درست کنیم.

    تعویض ترافیک (تعویض ترافیک).

    عملکرد بیشتر یک شوخی است. می توانید آن را طوری تغییر دهید که قربانی با ورود به یک سایت به سایت دیگری که وارد می شوید برود.

    در حالت ترافیک یک درخواست را در سمت چپ وارد می کنیم، نتیجه را در سمت راست، اما با همان تعداد حروف و علامت، در غیر این صورت جواب نمی دهد.

    مثال - در سمت چپ درخواست قابل تغییر را پر می کنیم، در سمت راست به آن نیاز داریم - test1 را به test2 تغییر می دهیم. (تیک Disable HTTP gzip).

    پس از وارد کردن، ADD و سپس OK را فشار دهید.

    در نهایت، یک ویدیو در مورد نحوه رهگیری داده های IOS از کلاینت ها، زیرا همانطور که می دانید در طول حمله Mitm، برنامه های آنها به سادگی کار نمی کنند.

    به زودی ویدیویی در مورد آنچه در مقاله نوشته شده است فیلمبرداری خواهم کرد.

    این رهگیری اطلاعات Wi FI بود.

    اساساً همین است. چیزی برای اضافه کردن وجود دارد - بنویسید، چیزی برای اصلاح وجود دارد، فقط بنویسید.

    دوباره می بینمت.

    بیسکویت ها - اطلاعات در قالب یک فایل متنی که توسط وب سایت در رایانه کاربر ذخیره می شود. حاوی داده های احراز هویت (ورود به سیستم/رمز عبور، شناسه، شماره تلفن، آدرس صندوق پست)، تنظیمات کاربر، وضعیت دسترسی. در نمایه مرورگر ذخیره می شود.

    هک کوکی دزدی (یا "ربایش") جلسه بازدیدکننده به یک منبع وب است. اطلاعات محرمانه نه تنها برای فرستنده و گیرنده، بلکه برای شخص ثالث - شخصی که رهگیری کرده است، در دسترس قرار می گیرد.

    ابزارها و تکنیک های هک کوکی ها

    سارقان رایانه، مانند همکاران خود در زندگی واقعی، علاوه بر مهارت، مهارت و دانش، البته، ابزارهای خاص خود را نیز دارند - نوعی زرادخانه از کلیدها و پروب های اصلی. بیایید با محبوب ترین ترفندهای هکرها آشنا شویم که از آنها برای گرفتن کوکی از ساکنان اینترنت استفاده می کنند.

    اسنیفرها

    برنامه های ویژه برای نظارت و تجزیه و تحلیل ترافیک شبکه. نام آنها از فعل انگلیسی "sniff" (sniff) گرفته شده است، زیرا. بسته های ارسالی بین گره ها به معنای واقعی کلمه "بو کشیدن" است.

    اما مهاجمان از یک sniffer برای رهگیری داده‌های جلسه، پیام‌ها و سایر اطلاعات محرمانه استفاده می‌کنند. هدف حملات آنها عمدتاً شبکه های ناامن هستند، جایی که کوکی ها در یک جلسه HTTP باز ارسال می شوند، یعنی عملاً رمزگذاری نمی شوند. (وای فای عمومی آسیب پذیرترین است.)

    روش های زیر برای تزریق sniffer به کانال اینترنت بین میزبان کاربر و وب سرور استفاده می شود:

    • "گوش دادن" به رابط های شبکه (هاب ها، سوئیچ ها)؛
    • انشعاب و کپی ترافیک؛
    • اتصال به قطع کانال شبکه؛
    • تجزیه و تحلیل از طریق حملات ویژه که ترافیک قربانی را به یک sniffer هدایت می کند (MAC-spoofing، IP-spoofing).

    مخفف XSS مخفف Cross Site Scripting است. برای حمله به وب سایت ها به منظور سرقت اطلاعات کاربران استفاده می شود.

    روش کار XSS به شرح زیر است:

    • یک مهاجم کد مخرب (یک اسکریپت پوشانده شده ویژه) را به صفحه وب سایت، انجمن یا پیامی (به عنوان مثال، هنگام چت در یک شبکه اجتماعی) تزریق می کند.
    • قربانی وارد صفحه آلوده شده و کد نصب شده را روی رایانه شخصی خود فعال می کند (کلیک می کند، پیوند را دنبال می کند و غیره).
    • به نوبه خود، کد مخرب فعال شده، داده های محرمانه کاربر را از مرورگر (به ویژه کوکی ها) "استخراج" می کند و آنها را به وب سرور مهاجم ارسال می کند.

    هکرها برای «کاشتن» مکانیزم نرم‌افزاری XSS از انواع آسیب‌پذیری‌ها در سرورهای وب، سرویس‌های آنلاین و مرورگرها استفاده می‌کنند.

    تمام آسیب پذیری های XSS به دو نوع تقسیم می شوند:

    • منفعل. حمله با پرس و جو از یک اسکریپت صفحه وب خاص به دست می آید. کدهای مخرب را می توان به اشکال مختلف در یک صفحه وب (مثلاً به نوار جستجو در یک سایت) تزریق کرد. مستعدترین نسبت به XSS غیرفعال منابعی هستند که تگ های HTML را هنگام رسیدن داده ها فیلتر نمی کنند.
    • فعال. مستقیماً روی سرور قرار دارد. و در مرورگر قربانی فعال می شوند. آنها به طور فعال توسط کلاهبرداران در وبلاگ ها، چت ها و فیدهای خبری مختلف استفاده می شوند.

    هکرها با دقت اسکریپت های XSS خود را "استتار" می کنند تا قربانی به چیزی مشکوک نشود. آنها پسوند فایل را تغییر می دهند، کد را به عنوان تصویر ارسال می کنند، آنها را تشویق می کنند که پیوند را دنبال کنند، آنها را با محتوای جالب جذب می کنند. در نتیجه: یک کاربر رایانه شخصی که با کنجکاوی خود کنار نیامده است، با دست خود (با کلیک ماوس) کوکی های جلسه (با ورود به سیستم و رمز عبور!) را برای نویسنده اسکریپت XSS - یک شرور رایانه ارسال می کند.

    جعل کوکی

    همه کوکی‌ها بدون هیچ تغییری - به شکل اصلی - با همان مقادیر، رشته‌ها و سایر داده‌ها، ذخیره می‌شوند و به سرور وب (که از آنجا آمده‌اند) ارسال می‌شوند. اصلاح عمدی پارامترهای آنها را جعل کوکی می گویند. به عبارت دیگر، هنگامی که یک کوکی جعل می شود، مهاجم در فکر آرزو است. به عنوان مثال، هنگام پرداخت در یک فروشگاه آنلاین، مقدار پرداخت در کوکی به یک سمت کوچکتر تغییر می کند - بنابراین "پس انداز" در خرید وجود دارد.

    کوکی‌های جلسه دزدیده شده در یک شبکه اجتماعی از حساب شخص دیگری در جلسه دیگری و در رایانه شخصی دیگر "درج" می‌شوند. مالک کوکی های دزدیده شده تا زمانی که قربانی در صفحه خود باشد، به حساب قربانی (مکاتبات، محتوا، تنظیمات صفحه) دسترسی کامل دارد.

    "ویرایش" کوکی ها با استفاده از موارد زیر انجام می شود:

    • توابع "مدیریت کوکی ها ..." در مرورگر Opera.
    • افزونه‌ها مدیر کوکی‌ها و مدیر کوکی پیشرفته برای فایرفاکس.
    • ابزارهای IECookiesView (فقط برای اینترنت اکسپلورر)؛
    • ویرایشگر متن مانند AkelPad، NotePad یا Notepad ویندوز.

    دسترسی فیزیکی به داده ها

    یک طرح بسیار ساده برای پیاده سازی، شامل چندین مرحله است. اما تنها در صورتی مؤثر است که رایانه قربانی با یک جلسه باز، به عنوان مثال، Vkontakte، بدون مراقبت رها شود (و برای مدت طولانی!):

    1. یک تابع جاوا اسکریپت در نوار آدرس مرورگر وارد می شود و تمام کوکی های ذخیره شده را نمایش می دهد.
    2. پس از فشار دادن "ENTER" همه آنها در صفحه ظاهر می شوند.
    3. کوکی ها کپی می شوند، در یک فایل ذخیره می شوند و سپس به یک درایو فلش منتقل می شوند.
    4. در رایانه دیگری، کوکی‌ها در جلسه جدیدی جایگزین می‌شوند.
    5. دسترسی به حساب قربانی باز می شود.

    به عنوان یک قاعده، هکرها از ابزارهای فوق (+ ابزارهای دیگر) هم به صورت ترکیبی (زیرا سطح حفاظت در بسیاری از منابع وب بسیار بالا است) و هم به طور جداگانه (زمانی که کاربران بیش از حد ساده لوح هستند) استفاده می کنند.

    XSS + sniffer

    1. یک اسکریپت XSS ایجاد می شود که آدرس sniffer آنلاین (محصول خود یا یک سرویس خاص) را مشخص می کند.
    2. کد مخرب با پسوند img. (فرمت تصویر) ذخیره می شود.
    3. سپس این فایل در صفحه سایت، چت یا پیام شخصی آپلود می شود - جایی که حمله انجام خواهد شد.
    4. توجه کاربر به "تله" ایجاد شده جلب می شود (در اینجا مهندسی اجتماعی وارد عمل می شود).
    5. اگر «تله» کار کند، کوکی‌های مرورگر قربانی توسط اسنیفر رهگیری می‌شوند.
    6. کراکر سیاهههای مربوط به اسنیفر را باز می کند و کوکی های دزدیده شده را استخراج می کند.
    7. سپس با استفاده از ابزارهای فوق، یک جایگزین برای به دست آوردن حقوق صاحب حساب انجام می دهد.

    محافظت از کوکی ها در برابر هک شدن

    1. از یک اتصال رمزگذاری شده (با استفاده از پروتکل ها و روش های امنیتی مناسب) استفاده کنید.
    2. به پیوندهای مشکوک، تصاویر، پیشنهادات وسوسه انگیز برای آشنایی با "نرم افزار رایگان جدید" پاسخ ندهید. مخصوصاً از غریبه ها.
    3. فقط از منابع وب قابل اعتماد استفاده کنید.
    4. یک جلسه مجاز را با فشار دادن دکمه "خروج" (و نه فقط بستن برگه!) پایان دهید. به خصوص اگر حساب کاربری نه از یک رایانه شخصی، بلکه، به عنوان مثال، از رایانه شخصی در یک کافی نت وارد شده باشد.
    5. از ویژگی «ذخیره رمز عبور» مرورگر خود استفاده نکنید. داده های ثبت شده ذخیره شده در برخی مواقع خطر سرقت را افزایش می دهد. تنبل نباشید، در ابتدای هر جلسه چند دقیقه وقت خود را برای وارد کردن رمز عبور و ورود به سیستم اختصاص ندهید.
    6. پس از گشت و گذار در وب - بازدید از شبکه های اجتماعی، انجمن ها، چت ها، سایت ها - کوکی های ذخیره شده را حذف کنید و کش مرورگر را پاک کنید.
    7. مرورگرها و نرم افزارهای آنتی ویروس را به طور منظم به روز کنید.
    8. از افزونه های مرورگر استفاده کنید که در برابر حملات XSS محافظت می کنند (به عنوان مثال، NoScript برای FF و Google Chrome).
    9. به صورت دوره ای در حساب ها.

    و مهمتر از همه - هنگام استراحت یا کار در اینترنت هوشیاری و توجه خود را از دست ندهید!

    بسیاری از کاربران حتی متوجه نیستند که با پر کردن لاگین و رمز عبور هنگام ثبت نام یا مجوز در یک منبع اینترنتی بسته و فشار دادن ENTER، این داده ها به راحتی قابل رهگیری هستند. اغلب آنها از طریق شبکه به شکل ناامن منتقل می شوند. بنابراین، اگر سایتی که قصد ورود به آن را دارید از پروتکل HTTP استفاده می کند، پس گرفتن این ترافیک، تجزیه و تحلیل آن با استفاده از Wireshark و سپس استفاده از فیلترها و برنامه های خاص برای یافتن و رمزگشایی رمز عبور بسیار آسان است.

    بهترین مکان برای رهگیری رمزهای عبور، هسته شبکه است، جایی که ترافیک همه کاربران به منابع بسته (مثلا پست الکترونیکی) یا جلوی روتر برای دسترسی به اینترنت هنگام ثبت نام در منابع خارجی می رود. ما یک آینه راه اندازی کردیم و آماده ایم که احساس کنیم یک هکر هستیم.

    مرحله 1. Wireshark را نصب و اجرا کنید تا ترافیک را ضبط کنید

    گاهی اوقات برای این کار کافی است فقط رابطی را انتخاب کنیم که از طریق آن قصد داریم ترافیک را ضبط کنیم و روی دکمه Start کلیک کنیم. در مورد ما، ما به صورت بی سیم عکس می گیریم.

    ضبط ترافیک آغاز شده است.

    مرحله 2. فیلتر کردن ترافیک POST ضبط شده

    مرورگر را باز می کنیم و سعی می کنیم با استفاده از نام کاربری و رمز عبور به هر منبعی وارد شویم. پس از تکمیل فرآیند مجوز و باز شدن سایت، ما از گرفتن ترافیک در Wireshark جلوگیری می کنیم. سپس، تحلیلگر پروتکل را باز کنید و تعداد زیادی بسته را مشاهده کنید. این مرحله ای است که اکثر متخصصان فناوری اطلاعات از آن دست می کشند زیرا نمی دانند در مرحله بعد چه کاری انجام دهند. اما ما می دانیم و علاقه مند به بسته های خاصی هستیم که حاوی داده های POST هستند که در دستگاه محلی ما هنگام پر کردن فرم روی صفحه ایجاد می شود و با کلیک روی دکمه "ورود" یا "مجوز" در مرورگر به سرور راه دور ارسال می شود. .

    برای نمایش بسته های ضبط شده، یک فیلتر ویژه در پنجره وارد کنید: http.درخواست.روش =="پست"

    و به جای هزار بسته، فقط یک بسته را با داده هایی که به دنبال آن هستیم می بینیم.

    مرحله 3. نام کاربری و رمز عبور را پیدا کنید

    سریع کلیک راست کرده و یک مورد را از منو انتخاب کنید TCPSteam را دنبال کنید


    پس از آن، متن در یک پنجره جدید ظاهر می شود که در کد محتوای صفحه را بازیابی می کند. بیایید فیلدهای «گذرواژه» و «کاربر» را که مربوط به رمز عبور و نام کاربری هستند، پیدا کنیم. در برخی موارد، خواندن هر دو فیلد آسان است و حتی رمزگذاری نمی شود، اما اگر در هنگام دسترسی به منابع بسیار شناخته شده مانند: Mail.ru، Facebook، Vkontakte و غیره سعی در جذب ترافیک داشته باشیم، رمز عبور خواهد بود. کدگذاری شده:

    HTTP/1.1 302 پیدا شد

    سرور: Apache/2.2.15 (CentOS)

    X-Powered-By: PHP/5.3.3

    P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"

    Set-Cookie:password= ; انقضا=پنجشنبه، 07-نوامبر-2024 23:52:21 GMT; مسیر=/

    مکان: loggedin.php

    طول محتوا: 0

    اتصال: بستن

    نوع محتوا: text/html; charset=UTF-8

    بنابراین در مورد ما:

    نام کاربری: networkguru

    کلمه عبور:

    مرحله 4 نوع رمزگذاری برای رمزگشایی رمز عبور را تعیین کنید

    به عنوان مثال به سایت http://www.onlinehashcrack.com/hash-identification.php#res می رویم و رمز عبور خود را در پنجره شناسایی وارد می کنیم. لیستی از پروتکل های رمزگذاری به ترتیب اولویت به من داده شد:

    مرحله 5: رمز عبور کاربر را رمزگشایی کنید

    در این مرحله می توانیم از ابزار hashcat استفاده کنیم:

    ~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

    در خروجی، یک رمز عبور رمزگشایی شده دریافت کردیم: simplepassword

    بنابراین با کمک Wireshark نه تنها می‌توانیم مشکلات عملکرد اپلیکیشن‌ها و سرویس‌ها را حل کنیم، بلکه با رهگیری پسوردهایی که کاربران در فرم‌های وب وارد می‌کنند، خود را به عنوان یک هکر امتحان کنیم. همچنین می‌توانید با استفاده از فیلترهای ساده برای نمایش گذرواژه‌های صندوق پستی کاربران را پیدا کنید:

    • پروتکل و فیلتر POP به این صورت است: pop.request.command == "USER" || pop.request.command == "گذر"
    • پروتکل و فیلتر IMAP به صورت زیر خواهد بود: imap.request حاوی "ورود" است
    • پروتکل SMTP و باید فیلتر زیر را وارد کنید: smtp.req.command == "AUTH"

    و ابزارهای جدی تر برای رمزگشایی پروتکل رمزگذاری.

    مرحله 6. اگر ترافیک رمزگذاری شده باشد و از HTTPS استفاده کند چه؟

    گزینه های مختلفی برای پاسخ به این سوال وجود دارد.

    گزینه 1. اتصال به قطع ارتباط بین کاربر و سرور و گرفتن ترافیک در لحظه برقراری اتصال (SSL Handshake). در زمان برقراری اتصال، کلید جلسه قابل رهگیری است.

    گزینه 2: می توانید ترافیک HTTPS را با استفاده از یک فایل گزارش کلید جلسه که توسط فایرفاکس یا کروم نوشته شده است، رمزگشایی کنید. برای انجام این کار، مرورگر باید طوری پیکربندی شود که این کلیدهای رمزگذاری را در یک فایل لاگ بنویسد (مثال مبتنی بر فایرفاکس) و شما باید این فایل لاگ را دریافت کنید. در اصل، شما باید فایل session key را از هارد دیسک کاربر دیگری بدزدید (که غیرقانونی است). خوب، سپس ترافیک را ضبط کنید و کلید دریافتی را برای رمزگشایی آن اعمال کنید.

    شفاف سازی.ما در مورد مرورگر وب شخصی صحبت می کنیم که رمز عبور او دزدیده می شود. اگر منظور ما رمزگشایی ترافیک HTTPS خودمان است و می‌خواهیم تمرین کنیم، این استراتژی جواب می‌دهد. اگر می‌خواهید ترافیک HTTPS کاربران دیگر را بدون دسترسی به رایانه‌هایشان رمزگشایی کنید، کار نمی‌کند - رمزگذاری و حریم خصوصی برای همین است.

    پس از دریافت کلیدها مطابق با گزینه 1 یا 2، باید آنها را در WireShark ثبت کنید:

    1. به منوی Edit - Preferences - Protocols - SSL بروید.
    2. پرچم "Reassemble Records SSL spaning multiple TCP segments" را تنظیم کنید.
    3. "RSA keys list" و روی Edit کلیک کنید.
    4. داده ها را در تمام فیلدها وارد کنید و با کلید مسیر را در فایل بنویسید

    WireShark می تواند بسته هایی را که با استفاده از الگوریتم RSA رمزگذاری شده اند رمزگشایی کند. اگر از الگوریتم های DHE / ECDHE، FS، ECC استفاده شود، sniffer کمکی به ما نمی کند.

    گزینه 3. به وب سروری که کاربر استفاده می کند دسترسی پیدا کنید و کلید را دریافت کنید. اما این کار حتی دشوارتر است. در شبکه های شرکتی، به منظور اشکال زدایی برنامه ها یا فیلتر کردن محتوا، این گزینه به صورت قانونی اجرا می شود، اما نه به منظور رهگیری رمزهای عبور کاربران.

    جایزه

    ویدئو: Wireshark Packet Sniffing Username, Password, and Web Pages

    بیشتر بخوانید: