что на самом деле происходит при SSL-атаке

Question

Я исследую SSL Strip. Я знаю, что злоумышленник должен быть MITM, чтобы он мог перехватывать все запросы от жертвы и отправлять их на сервер. Но я не понимаю, что когда злоумышленник получает ответ от сервера (https), злоумышленник изменяет ответ сервера с https на http и отправляет его жертве.

то, что происходит на самом деле, изменяет ответ с сервера с https на http? Создал ли злоумышленник сайт, который похож на оригинальный сайт, но с http вместо https?

Answer 1

SSLStrip - это перехват начального перенаправления HTTP -> HTTPS.

Когда пользователь вводит URL-адрес в браузере, например «stackoverflow.com», браузер по умолчанию загружает его с HTTP. Затем сайт видит, что вы загружаете его по незашифрованному HTTP, поэтому он перенаправляет на HTTPS.

Это первоначальное перенаправление допускается активным злоумышленником MITM. Они могут изменить первоначальное перенаправление HTTP на HTTPS, чтобы перенаправить, например, на похожий URL-адрес, которым они владеют.

Атака может быть смягчена Strict-Transport-Security. Служба STS учит браузер «с этого момента всегда обращаться к этому домену (и, возможно, к поддоменам)» как HTTPS. Затем браузер автоматически загружает его через HTTPS и полностью пропускает HTTP-запрос.

STS - это функция доверия при первом использовании. При первом обращении к сайту первоначальное перенаправление HTTP на HTTPS все еще происходит, потому что браузер не знает, что HTTPS всегда должен получать доступ к сайту. Эта последняя проблема устраняется с помощью предварительной загрузки HSTS, когда домен по существу жестко запрограммирован в исходный код браузера как «загрузка по HTTPS в первую очередь».