Знаете ли вы, что каждый раз, когда вы заполняете форму аутентификации на веб-сайте и нажмите ENTER, вы отправляете туда свой пароль. Ну, конечно, вы знаете. Как еще же вы собираетесь идентифицировать себя на сайте ?? Но тут есть небольшое НО, если сайт имеет протокол http, a не https, то ваш трафик можно легко захватить, а после проанализировать и вынуть от туда ваш логин и пароль.
Шаг 1: Запуск Wireshark и захват трафика
Чтобы запустить WireShark в Kali Linux зайдите в
Application > Kali Linux > Top 10 Security Tools > Wireshark
В WireShark'e выберите Capture > Interface и отметьте интерфейс, который относится к вам. В моем случае, я выбрал wlan0.
После чего нужно нажать кнопку Start для того что бы WireShark начал захват трафика.
На этом этапе Wireshark "слушает" весь сетевой трафик проходящий через wlan0. Я открыл браузер и зашел на веб-сайт, используя свой логин и пароль. Когда процесс аутентификации был завершен, и я вошел в систему, я вернулся и остановил захват в Wireshark.
Шаг 2: Фильтрование захваченного трафика
Обычно вы видите много данных в Wireshark. Однако нас интересует только данные с методом запроса . Почему только POST, спросите вы? Потому что, когда вы вводите имя пользователя и пароль и нажмите кнопку Вход, он генерирует метод POST-(короче - вы отправляете данные на удаленный сервер). Для того, чтобы фильтровать весь трафик и найти только данные POST, введите следующую команду в секции фильтра "http.request.method == “POST”"
Шаг 3: Анализ данных POST
Cейчас щелкните ПКМ по этой строке и выберите Follow TCP Steam
Откроется новое окно, содержащее что-то вроде этого:
Имя: sampleuser
Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91
Но подожди, e4b7c855be6e3d4307b8d6ba4cd4ab91 не может быть реальным паролем. Это должно быть значение хеш-функции.
Шаг 4: Определяем тип хэша
Я буду использовать хэш-идентификатор, чтобы выяснить, какой это тип хэша. Для этого нужно открыть терминал и ввести туда hash-identifier, после чего вставить хэш-значение.
Шаг 5: Взлом MD5
Можно легко взломать этот простой пароль, используя hashcat или подобные программные обеспечения.
Конечный результат выглядит следующим образом:
Имя: sampleuser
Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91:simplepassword
На этом все, удачи вам в ваших начинаниях.
Для того чтобы сайт развивался все быстрее, я предлагаю его пользователям поддержать эстафету, суть ее в том, что если кто-то напишет статью, о чем либо, он может бросить вызов любому другому пользователю, а тот должен будет его принять и в свою очередь тоже написать статью.
Так вот, предлагаю Райнуру написать что-то...
Понятие http и https
HTTP – прикладной протокол передачи данный, используемый для получения информации с веб-сайтов.
HTTPS - расширение протокола HTTP, поддерживающее шифрование по протоколам SSL и TLS.
Разница между http и https
Разница между HTTP и HTTPS заметна уже из определений. HTTPS – не самостоятельный протокол передачи данных, а HTTP с надстройкой шифрования. В этом ключевое и единственное отличие. Если по протоколу HTTP данные передаются незащищенными, то HTTPS обеспечит криптографическую защиту. Используется это там, где авторизация ответственна: на сайтах платежных систем, почтовых сервисах, в социальных сетях.
HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы и . Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от атак и атак типа , при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.
HTTP – прикладной протокол передачи данный, используемый для получения информации с веб-сайтов.
HTTPS - расширение протокола HTTP, поддерживающее шифрование по протоколам SSL и TLS.
Разница между http и https
Разница между HTTP и HTTPS заметна уже из определений. HTTPS – не самостоятельный протокол передачи данных, а HTTP с надстройкой шифрования. В этом ключевое и единственное отличие. Если по протоколу HTTP данные передаются незащищенными, то HTTPS обеспечит криптографическую защиту. Используется это там, где авторизация ответственна: на сайтах платежных систем, почтовых сервисах, в социальных сетях.
HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы и . Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от атак и атак типа , при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.
Шаг 1: Запуск Wireshark и захват трафика
Чтобы запустить WireShark в Kali Linux зайдите в
Application > Kali Linux > Top 10 Security Tools > Wireshark
В WireShark'e выберите Capture > Interface и отметьте интерфейс, который относится к вам. В моем случае, я выбрал wlan0.
После чего нужно нажать кнопку Start для того что бы WireShark начал захват трафика.
На этом этапе Wireshark "слушает" весь сетевой трафик проходящий через wlan0. Я открыл браузер и зашел на веб-сайт, используя свой логин и пароль. Когда процесс аутентификации был завершен, и я вошел в систему, я вернулся и остановил захват в Wireshark.
Шаг 2: Фильтрование захваченного трафика
Обычно вы видите много данных в Wireshark. Однако нас интересует только данные с методом запроса . Почему только POST, спросите вы? Потому что, когда вы вводите имя пользователя и пароль и нажмите кнопку Вход, он генерирует метод POST-(короче - вы отправляете данные на удаленный сервер). Для того, чтобы фильтровать весь трафик и найти только данные POST, введите следующую команду в секции фильтра "http.request.method == “POST”"
Шаг 3: Анализ данных POST
Cейчас щелкните ПКМ по этой строке и выберите Follow TCP Steam
Откроется новое окно, содержащее что-то вроде этого:
В данном случае:
Имя: sampleuser
Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91
Но подожди, e4b7c855be6e3d4307b8d6ba4cd4ab91 не может быть реальным паролем. Это должно быть значение хеш-функции.
Шаг 4: Определяем тип хэша
Я буду использовать хэш-идентификатор, чтобы выяснить, какой это тип хэша. Для этого нужно открыть терминал и ввести туда hash-identifier, после чего вставить хэш-значение.
Шаг 5: Взлом MD5
Можно легко взломать этот простой пароль, используя hashcat или подобные программные обеспечения.
Конечный результат выглядит следующим образом:
Имя: sampleuser
Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91:simplepassword
На этом все, удачи вам в ваших начинаниях.
Для того чтобы сайт развивался все быстрее, я предлагаю его пользователям поддержать эстафету, суть ее в том, что если кто-то напишет статью, о чем либо, он может бросить вызов любому другому пользователю, а тот должен будет его принять и в свою очередь тоже написать статью.
Так вот, предлагаю Райнуру написать что-то...
