[實戰] ARP欺騙、用劫持的Session登入
聲明
所有過程僅止於學術研究,並全程保密受測方。
測試結束後即知會受測方,且立即登出該帳號,絕無不法之使用。
上課時老師們總是會去學校的線上教學平台下載ppt,但每次看老師使用都很納悶
登入時都還是https有加密
登入後怎麼又變回http了@@
多逛幾個學校不同的網站,發現好像只有登入時才有SSL/TLS協議加密,這…安全性可靠嗎…
每次上課都困惑一次,終於在今天好奇心大爆發
想在課堂上試試看能不能用劫持session的方式直接騙過server登入
(因為登入是https,有經過SSL/TLS協議加密)
於是我就默默boot up usb裡的Kali Linux,開啟Ettercap
近期迴響