WebElektronika
Belépési adatok megszerzése Wireshark segítségével
A "sniffing" segítségével különböző hálózati forgalom figyelhető meg, illetve ezek a csomagok rögzíthetők is. A megfigyelhető protokollok, lehetőségek egy része látható a következő felsorolásban:
- web forgalom
- FTP forgalom
- telnet
- DNS forgalom
- email forgalom
- router konfiguráció
Nézzük meg az első ábrán lévő elrendezést, ahol "Bob" adatot szeretne küldeni "Alice"-nek. Alice meg fogja kapni a küldenő adatot, de úgy, hogy a Bob által küldött adatokat "Darth" is megkapja. Darth jelen esetben nem módosítja Bob által küldött adatokat, "csak" megfigyeli, illetve akár rögzítheti is (1. ábra). Látható tehát, hogy a sniffing-gel érzékeny adatok lophatók el. Ha HUB-ot alkalmazunk, akkor ez a passzív sniffing.
1. ábra Passzív sniffing
Nézzük most meg azt, hogy hogyan is kivitelezhető az érzékeny adatok elkapása, illetve rögzítése. Ebben a cikkben még a rögzítés, illetve egy tesztoldalra történő belépés is ugyanarról a számítógépről történik. Ez egyáltalán nem életszerű, de ebben a cikkben a cél az, hogy megismerjünk egy tesztoldalt, illetve a Wireshark használatának alapját.
Korábban áttekintettük DVWA virtuális gépre történő telepítését, ezért most egy online tesztalkalmazást fogunk igénybe venni.
Indítsuk el a Wireshark-ot, amelyet innen tölthetünk le.
Írjuk be a keresőnkbe a következő url-t:
http://testsparker.com
A 2. ábrán látható kép fogad minket, itt tudjuk kiválasztani, milyen technológiával elkészített honlapot szeretnénk vizsgálni.
2. ábra Különböző technológiai lehetőségek a http://testsparker.com oldalon
Válasszuk ki például az első lehetőséget, amellyel az ASP.NET webes alkalmazás tesztelésére nyílik lehetőségünk. Ezután kattintsunk a "Login" menüpontra (3. ábra).
3. ábra Belépési felület a tesztoldalon
Adjunk meg egy tetszőleges belépési adatot (a@b.hu, teszteles), majd kattintsunk a "Sign in" nyomógombra. Természetesen ezek az adatok nem megfelelőek, de ez számunkra ez nem érdekes (4. ábra).
4. ábra Sikertelen belépés
A sikertelen belépés után állítsuk le a Wireshark-on a hálózati forgalom figyelését. A Wireshark minden hálózati forgalmat eltárolt, amelyet a programban megnézhetünk. Ahhoz, hogy a hálózati forgalomat kényelmesen lehessen analizálni, különböző filtereket tudunk alkalmazni.
Írjuk be a "http.request" filtert a szövegdobozba, és csak azokat a hálózati forgalmi részleteket látjuk, amelyek http kéréseket tartalmaznak (5. ábra).
5. ábra Http kérések az elfogott hálózati forgalomban
Amikor a "Sign in" nyomógombra kattintottunk, akkor egy "post" kérés történt. Ezért számunkra az utolsó http kérés lesz érdekes, hiszen a belépési adatok itt szerepelnek.
Kattintsunk a post kérést tartalmazó sorra, és válasszuk ki a "Follow/TCP Stream" menüpontot (6. ábra).
6. ábra A "Follow/TCP Stream" menüpont kiválasztása
Ha erre a menüpontra kattintunk, akkor a következő ablak jelenik meg, benne a teljes TCP forgalom, amely ehhez a kéréshez tartozott (7. ábra, részlet).
7. ábra TCP stream
Ha az adatforgalom nem titkosított, akkor ebben az ablakban megtalálhatók olvasható formában a belépési adatok (8. ábra).
8. ábra A megtalált belépési adatok a TCP streamben
Látható az, hogy a hálózati forgalomban nagyon könnyen megtalálhatók az érzékeny adatok. Ezért javasolt a titkosítás, például a http helyett használjunk https-t, ftp helyet sftp-t, stb.