給企業做單點登錄咨詢和實施的時候,講到通信環節的安全性,常聽到這種聲音:這些系統只在內網使用,不用https沒關系!
包括在我前一篇《看完48秒動畫,讓你不敢再登錄HTTP網站》的評論里,也有不少程序猿覺得我演示的案例,在現實網絡中難以實現。
這個觀點非常錯誤和危險,並且還特別迎合直觀:內網屏蔽了絕大部分外部的黑客攻擊,應該會安全得多吧?
為此,我把給企業做培訓和顧問時,常會演示的程序,給大家做個分享。
當內網中有人運行這個程序,你在自己電腦上網會被同事實時“直播”;手機明明連的是公司有“安全”標記的wifi,訪問單位OA時竟也會被輕松嗅探走賬號密碼。大部分人都會目瞪口呆,徹底改變“內網很安全”、“標記了'安全'的公司wifi很安全”的認識。
這個版本,是在我github開源的HttpHijacker基礎上,增加了三個功能:
1. 網絡設備嗅探
2. ARP欺騙
3. 數據包轉發
涉及到的都是最基礎的網絡協議。
大家在自己電腦運行本程序,可以看到同一局域網段或wifi的上網設備,並選擇其中任一設備執行監聽。
被監聽設備上的所有http訪問,都會實時被該程序監聽並記錄。
選擇被監聽到的任一條記錄,點擊“劫持選中http會話”,你的瀏覽器會自動打開該站點,並用被劫持者的賬號身份登入,可隨意查看和修改數據。
——咳咳,考慮到好奇心甚的程序猿們,拿該程序可能造成的影響或者背負的嫌疑,我把程序做了一點限制:代碼不開源;監聽記錄URL做截斷;將可劫持的域名限制為attack-demo.baibaomen.com。
大家要驗證和演示http會話劫持,請讓其他同事用局域網的電腦或wifi手機,訪問http://attack-demo.baibaomen.com,在其中輸入任意賬號或密碼后進入個人設置界面。與此同時,你在電腦上啟動監聽程序,選擇或手動輸入同事電腦IP點擊監聽,將實時監聽到該同事的站點瀏覽情況,選擇劫持還將自動以其身份進入被劫持系統,隨意查看和操作數據。
程序添加到了https://github.com/baibaomen/Baibaomen.HttpHijacker,下載“百寶門內網攻擊演示程序.zip”,解壓即可運行。程序在本人開源的HttpHijacker上,增加了一些網絡攻擊的演示功能。
程序執行時會在網絡上啟動ARP攻擊,請慎重體驗。對於網關上做了MAC地址綁定的網絡環境,該攻擊一般只會導致目標機器和網關通信的中斷(單向MAC欺騙成功)。
希望通過這個程序的演示,能讓大家都意識到網絡安全性很脆弱。也藉此給出的警示,能盡快把國外已經先行力推的https,引入我們企業的信息化建設中來。至少,希望在SSO這個把所有雞蛋(被集成系統的賬號密碼)都放在一個籃子的場景里,https能盡快成為企業認可的必選項。
一切未保留原文鏈接的轉載,均屬侵權行為: http://www.cnblogs.com/baibaomen/p/intranet-attack.html
業務合作或授權協商請郵件:baibaomen@gmail.com。
本作品采用知識共享署名-非商業性使用-相同方式共享 2.5 中國大陸許可協議進行許可。
我的博客歡迎復制共享,但在同時,請保留原文地址,以及我的署名權百寶門-SSO顧問,並且,不得用於商業用途。
博客園專欄:百寶門-SSO顧問