给企业做顾问时,常演示这个程序,以暴露大部分企业内网环境的脆弱性。当内网中有人运行这个程序,你在自己电脑上的网站会被同事实时“直播”;手机明明连的是公司有“安全”标记的wifi,访问单位OA时竟然会被轻松嗅探走账号密码。
本次版本相对我github上的开源版本,多了三个功能:
1. 网络设备嗅探
2. ARP欺骗
3. 数据包转发
涉及到的都是最基础的网络协议。

h1.title, h2.title { padding-left: 2rem !important; color: rgba(71, 91, 204, 1) !important }
h1.title { font-size: 22px !important }
h2.title { font-size: 18px !important }
.padding { padding: 0 2rem 1rem }
blockquote.menu { padding-left: 2rem; line-height: 1.8em; background-color: rgba(252, 245, 236, 1); border: 1px solid rgba(146, 145, 145, 1); color: rgba(146, 145, 145, 1) }
blockquote.menu li { margin-bottom: 0 }
blockquote.menu a { color: rgba(146, 145, 145, 1) }
.demo-links { }
.demo-links span { width: 17%; margin-right: 2%; display: inline-block }
.demo-links img, .demo-links iframe { margin: 0 auto; display: block; max-width: 100%; max-height: 150px; text-align: center }
.demo-links label { display: block; text-align: center; text-decoration: underline; cursor: pointer }
div.cpr { padding: 0 1rem; border: 1px solid rgba(193, 190, 190, 1); background-color: rgba(240, 248, 255, 1) }

给企业做单点登录咨询和实施的时候,讲到通信环节的安全性,常听到这种声音:这些系统只在内网使用,不用https没关系!

包括在我前一篇看完48秒动画,让你不敢再登录HTTP网站的评论里,也有不少程序猿觉得我演示的案例,在现实网络中难以实现。

这个观点非常错误和危险,并且还特别迎合直观:内网屏蔽了绝大部分外部的黑客攻击,应该会安全得多吧?

为此,我把给企业做培训和顾问时,常会演示的程序,给大家做个分享。

当内网中有人运行这个程序,你在自己电脑上网会被同事实时“直播”;手机明明连的是公司有“安全”标记的wifi,访问单位OA时竟也会被轻松嗅探走账号密码。大部分人都会目瞪口呆,彻底改变“内网很安全”、“标记了\’安全\’的公司wifi很安全”的认识。

 

这个版本,是在我github开源的HttpHijacker基础上,增加了三个功能:

1. 网络设备嗅探

2. ARP欺骗

3. 数据包转发

涉及到的都是最基础的网络协议。

 

大家在自己电脑运行本程序,可以看到同一局域网段或wifi的上网设备,并选择其中任一设备执行监听。

被监听设备上的所有http访问,都会实时被该程序监听并记录。

选择被监听到的任一条记录,点击“劫持选中http会话”,你的浏览器会自动打开该站点,并用被劫持者的账号身份登入,可随意查看和修改数据。

 ——咳咳,考虑到好奇心甚的程序猿们,拿该程序可能造成的影响或者背负的嫌疑,我把程序做了一点限制:代码不开源;监听记录URL做截断;将可劫持的域名限制为attack-demo.baibaomen.com。

 

大家要验证和演示http会话劫持,请让其他同事用局域网的电脑或wifi手机,访问http://attack-demo.baibaomen.com,在其中输入任意账号或密码后进入个人设置界面。与此同时,你在电脑上启动监听程序,选择或手动输入同事电脑IP点击监听,将实时监听到该同事的站点浏览情况,选择劫持还将自动以其身份进入被劫持系统,随意查看和操作数据。

 

 

程序添加到了https://github.com/baibaomen/Baibaomen.HttpHijacker,下载“百宝门内网攻击演示程序.zip”,解压即可运行。程序在本人开源的HttpHijacker上,增加了一些网络攻击的演示功能。

 程序执行时会在网络上启动ARP攻击,请慎重体验。对于网关上做了MAC地址绑定的网络环境,该攻击一般只会导致目标机器和网关通信的中断(单向MAC欺骗成功)。

 

希望通过这个程序的演示,能让大家都意识到网络安全性很脆弱。也藉此给出的警示,能尽快把国外已经先行力推的https,引入我们企业的信息化建设中来。至少,希望在SSO这个把所有鸡蛋(被集成系统的账号密码)都放在一个篮子的场景里,https能尽快成为企业认可的必选项。

 

一切未保留原文链接的转载,均属侵权行为: http://www.cnblogs.com/baibaomen/p/intranet-attack.html  

业务合作或授权协商请邮件:baibaomen@gmail.com。 

本作品采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可。

我的博客欢迎复制共享,但在同时,请保留原文地址,以及我的署名权百宝门-SSO顾问,并且,不得用于商业用途。

博客园专栏:百宝门-SSO顾问

 

版权声明:本文为baibaomen原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/baibaomen/p/intranet-attack.html