คลังความรู้สู่นักทดสอบเจาะระบบ
Free Knowledge-Sharing Initiative
เราสามารถตรวจสอบ หรือข้อความของ Public Key ของ Certificate ที่ Export มาจากโปรแกรม Proxy อย่าง Burp Suite โดยใช้โปรแกรม OpenSSL ทั้ง Windows และ Kali Linux โดยไม่อยากนัก เพื่อนำไปสู่การเตรียมการโจมตีอย่างเช่นการ Bypass Certificate Pining ของ Mobile Application ได้เช่นกัน
ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดเผยรายละเอียดข้อมูลของเครื่องให้บริการเว็บไซต์เช่น ชื่อผลิตภัณฑ์ หมายเลขรุ่น เป็นต้น ซึ่งข้อมูลเหล่านี้ไม่จำเป็นต้องใช้ภายหลังที่อยู่บนระบบใช้งานจริง (Production environment)
เป็นวิธีการดักจับข้อมูล HTTP ของ Burp โดยใช้ OpenVPN ลงบน Kali และเครื่อง iOS เพื่อที่จะทำให้สามารถดักจับ Traffic ได้ ซึ่งบาง Application ที่เขียนด้วย Flutter อาจไม่สามารถดักจับได้โดยวิธีลง Cert burp ปกติ
บทนำ (Overview) ขั้นตอนวิธีเปิดใช้งาน HTTPs บน Kal…
บทนำ (Overview) บทความต่อไปนี้อธิบายวิธี การ decry…