给企业做单点登录咨询和实施的时候,讲到通信环节的安全性,常听到这种声音:这些系统只在内网使用,不用https没关系!
包括在我前一篇《看完48秒动画,让你不敢再登录HTTP网站》的评论里,也有不少程序猿觉得我演示的案例,在现实网络中难以实现。
这个观点非常错误和危险,并且还特别迎合直观:内网屏蔽了绝大部分外部的黑客攻击,应该会安全得多吧?
为此,我把给企业做培训和顾问时,常会演示的程序,给大家做个分享。
当内网中有人运行这个程序,你在自己电脑上网会被同事实时“直播”;手机明明连的是公司有“安全”标记的wifi,访问单位OA时竟也会被轻松嗅探走账号密码。大部分人都会目瞪口呆,彻底改变“内网很安全”、“标记了'安全'的公司wifi很安全”的认识。
这个版本,是在我github开源的HttpHijacker基础上,增加了三个功能:
1. 网络设备嗅探
2. ARP欺骗
3. 数据包转发
涉及到的都是最基础的网络协议。
大家在自己电脑运行本程序,可以看到同一局域网段或wifi的上网设备,并选择其中任一设备执行监听。
被监听设备上的所有http访问,都会实时被该程序监听并记录。
选择被监听到的任一条记录,点击“劫持选中http会话”,你的浏览器会自动打开该站点,并用被劫持者的账号身份登入,可随意查看和修改数据。
——咳咳,考虑到好奇心甚的程序猿们,拿该程序可能造成的影响或者背负的嫌疑,我把程序做了一点限制:代码不开源;监听记录URL做截断;将可劫持的域名限制为attack-demo.baibaomen.com。
大家要验证和演示http会话劫持,请让其他同事用局域网的电脑或wifi手机,访问http://attack-demo.baibaomen.com,在其中输入任意账号或密码后进入个人设置界面。与此同时,你在电脑上启动监听程序,选择或手动输入同事电脑IP点击监听,将实时监听到该同事的站点浏览情况,选择劫持还将自动以其身份进入被劫持系统,随意查看和操作数据。
程序添加到了https://github.com/baibaomen/Baibaomen.HttpHijacker,下载“百宝门内网攻击演示程序.zip”,解压即可运行。程序在本人开源的HttpHijacker上,增加了一些网络攻击的演示功能。
程序执行时会在网络上启动ARP攻击,请慎重体验。对于网关上做了MAC地址绑定的网络环境,该攻击一般只会导致目标机器和网关通信的中断(单向MAC欺骗成功)。
希望通过这个程序的演示,能让大家都意识到网络安全性很脆弱。也藉此给出的警示,能尽快把国外已经先行力推的https,引入我们企业的信息化建设中来。至少,希望在SSO这个把所有鸡蛋(被集成系统的账号密码)都放在一个篮子的场景里,https能尽快成为企业认可的必选项。
一切未保留原文链接的转载,均属侵权行为: http://www.cnblogs.com/baibaomen/p/intranet-attack.html
业务合作或授权协商请邮件:baibaomen@gmail.com。
本作品采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可。
我的博客欢迎复制共享,但在同时,请保留原文地址,以及我的署名权百宝门-SSO顾问,并且,不得用于商业用途。
博客园专栏:百宝门-SSO顾问