jueves, 7 de diciembre de 2017

HTTP vs HTTPS ¿Qué hace cada uno? [Parte III: La PoC]

Tras la segunda parte de HTTP vs HTTPS, ya solamente me queda hacer unas demos o unas PoCs para que veáis lo que ocurre en cada protocolo. Los que sepáis un poco más del tema no os sosprenderá, pero esta serie de entradas está destinada para alguna charla, contestar a un incrédulo o simplemente, para mostrársela al público general y que no tiene por qué saber de informática.



Para probar esto, solamente hace falta un navegador web y Wireshark además de una conexión a Internet.

PoC 1: PoC sobre HTTP



Las pruebas se realizarán sobre el Moodle de mi instituto, el cual va por HTTP. Esto es un problema, ya que como se vio en la entrada de MiTM clásico con un Fake AP, cualquiera podría utilizar este esquema de MiTM y colocarse en medio de la conexión para capturar todo el tráfico de red de los usuarios conectados.


Como se puede observar, es bastante sencillo realizar este esquema de ataques y robar las credenciales de una víctima, y todo por usar el famoso puerto 80 para el login.

PoC 2: Prueba sobre HTTPS


Si probamos lo mismo pero sobre una web con HTTPS en su servicio de login, veremos en Wireshark muchos paquetes TLS, ya que HTTPS utiliza el cifrado SSL/TLS.


Y obviamente, utiliza el puerto 443, por lo que con 2 ejemplos sencillitos, ya sabemos de la importancia de utilizar HTTPS en lugar de HTTP si vas a manejar información sensible en tu web.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...