2018-M03 MITM (短篇) - 資安

自己的文自己回

最近遇到一個有趣的 MITM (?) 的例子

使用者透過瀏覽器登入網站 發送的 RESTful API 的特定 response

都會被替換掉內容 !!



舉個例子來看 使用者發送的 https://example.com/resources/resource 的 API

網站收到的是 application/json 的回傳格式 內容是

{
"address" : "0x123456789ABCDEF"
}

但是在使用者的環境 都拿到固定的 0x111111111111111

在還沒碰觸到使用者機器的情況之下 該如何解決通靈的問題呢 XD



檢查過系統後台的 DB 確定 address 並沒有在真實資料庫中

隔空抓藥有以下三種可能性：

- 使用者被 MITM (Man-in-the-middle) 攻擊
- 使用者連上釣魚網站 (phashing)
- 使用者的 DNS 被竄改 (DNS Spoofing)


其中

MITM 可以透過 1) 在系統安裝 mitmproxy 並且 2) 安裝惡意的 Root CA

釣魚網站則可以透過 Cyrillic alphabets 讓使用者連到釣魚網站

DNS 竄改則是直接將目標網站導向到釣魚網站


~ 以下開放更多隔空抓藥 ~

--