中间人攻击是怎么被识别出来的?

2023-12-22 15:02:53 +08:00
 HarrisIce

今天自签发了个 CA ,导入到 BurpSuite ,然后系统信任这个 CA ,再给浏览器配置代理走 BurpSuite ,就可以解密出来 HTTPS 的流量了。 本意是想看看阿里云的登录逻辑是什么做的,好学习学习 2333 ,但是刚登录没 5 分钟就发邮件告诉我安全原因冻结了,而且只能打客服电话解冻。想到之前拿 BurpSuite 辅助前后端开发时也是,刚调没一会,公司的安全中心就来找我问我这边在干啥,有疑似安全攻击。

想来问问,这种形式的中间人攻击是怎么被识别出来的? BurpSuite 使用了自签发的 CA 为每个 host 生成证书并且代替客户端向服务器发起 TLS 连接,这种在应用层之下的活动,是怎么会被服务器端或者公司的防火墙识别出来的?

1806 次点击
所在节点    信息安全
11 条回复
qrobot
2023-12-22 15:08:58 +08:00
没研究阿里云, 但是 BurpSuite 的特征很明显啊
tool2d
2023-12-22 15:17:40 +08:00
是不是 BurpSuite 自己修改了 UA ,加了被检测的特性。

正常浏览器发起访问,就算是代理自签名 CA ,也并不会发到服务器才对。
google2020
2023-12-22 15:23:15 +08:00
可以通过 TLS 握手参数判断客户端。没用过 BurpSuite ,盲猜它的 TLS 握手有特征。
yyf1234
2023-12-22 15:23:56 +08:00
> 再给浏览器配置代理走 BurpSuite ,就可以解密出来 HTTPS 的流量了

没明白,浏览器也需要 mitm 吗?
proxytoworld
2023-12-22 15:29:09 +08:00
实测阿里云使用 burp suite 拦截请求,扫码登录 没有触发你说的
nothingistrue
2023-12-22 15:35:09 +08:00
如果是纯浏览器的 https 登录,按下浏览器的 F12 就有各项数据,压根不需要再通过抓包工具。所以楼主要么没说好,要么就可以隐藏了些东西。这种复现信息严重不足的问题,让人怎么回答。
nothingistrue
2023-12-22 15:39:42 +08:00
简单搜索了一下,Burp suite 不是抓包工具,而是网络安全测试工具,当然另一方面它也是网络入侵工具。楼主的行为,只能说:找抽。
991547436
2023-12-22 16:44:45 +08:00
BurpSuite 不知道 postman 默认会自己添加 UA
HarrisIce
2023-12-22 19:58:13 +08:00
@nothingistrue 一言难尽,主要是在调接口,就顺带在调接口的浏览器上一起登录了阿里云,就给 ban 了,打客服电话说等一天就从小黑屋拉出来了
hanyuwei70
298 天前
有可能是有一些 HPKP 的链接无法访问导致的。
impdx
279 天前
burpsuite 特征很明显,github 有去特征。最简单一个特征,你本机的 http://burp 可访问。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1002632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX