Представлен релиз проекта Mitmproxy 11, развивающего инструментарий для перехвата трафика внутри соединений, установленных по HTTPS, с возможностями инспектирования, модификации и повторного воспроизведения трафика. Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системах и диагностика проблем, например, выявление скрытой сетевой активности приложений. Исходные тексты проекта написаны на языке Python и распространяются под лицензией MIT...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61997
А клиент на MITM не ругается?
Если речь о https, то конечно нужно генерировать ssl сертификат, при условии что не используется certificate pinning.
Facebook обычно ругается, если используется MITM. Но браузер можно настроить, чтобы он всё равно подключался. По крайней мере, в Basilisk в about:config я накручивал опции, чтобы соединялось, несмотря на MITM. Но если доступа к клиенту (браузеру) нет и сервер использует certificate pinning, то в трафик не влезть, будет ошибка.
Хм, любопытно. Могу предположить, что FB косвенно детектит прокси (мб какое-то подобие certificate pinning со стороны самого сервера, реакция на прокси заголовок, не весь трафик идет через прокси итп). Мне не доводилось использовать его непосредственно для браузеров (я ограничивался другими приложениями), потому возможно не сталкивался с такими особенностями.Если пользуетесь Windows и использовали выставление прокси через браузер, то я бы мог предложить ради интереса попробовать для прокси режим "--mode local" вместо настроек браузера, быть может при нем заработает без костылей.
> Для того, чтобы используемый при соединении с клиентом подставной сертификат не приводил к выводу браузером предупреждений о проблемах с безопасностью соединения, в систему пользователя предлагается установить корневой сертификат mitmproxy, что можно сделать как вручную, так и открыв в браузере специальный хост mitm.it.
Ну почитайте же статью, там же автор написал про необходимость установить сертификаты. Вы что? Не читаете и задаёте вопросы?
Так вопрос какой температуры нужен паяльник чтобы клиент перестал ругаться на то что мы заставляем его ставить сертификат?
Клиенты ругаются. )))))Этот написаный на .py HTTPS-анализатор можно использовать только для отлатки одним пользователям. Мы как-то тестировали его на скорость - и отказались, и перешли на haproxy.
Шикарный инструмент для пентестеров!
Мы на работе всех заставили поставить сертификат чтобы видеть куда эти пентестеры там лазают в рабочее время. Кто не туда полез тому сразу по пену линейкой. Если вы понимаете о чём я.
Чтобы посмотреть, куда лезут, достаточно поставить старый добрый SQUID. Да, в логах не будет видно, что именно человек там запрашивал, но если трафик с рабочего компа идет на порнхаб, онлифанс или сервера Стима, то и так понятно, что с работой это не связано. А вот поставив всем сертификат вы создали для злоумышленника точку, в которой можно перехватить расшифрованный трафик и, теоретически, получить доступ к критически важной информации. Представьте ситуацию, что ваш сервер взломали, получили доступ к клиент-банку пользователя и украли у него миллион со вклада. Или получили доступ к госуслугам и смогли через них отжать квартиру.
Так нормальные банки уже давно требуют подтверждение по SMS, да и госулуги тоже.
> подтверждение по SMSЭто даже не театр безопасности, это детсадовская постановка на новый год.
Кхм , анализатора... эм, ну да, можно и так сказать.
Да,ладно. Реально удобная вещь для отладки запросов в посторонние сервисы. Особенно когда они идут прозрачно для приложения из каких нибудь либ.
они действуют намного тyпее, там все ще на урове tcp/ip работает, а не так высоко
Спасибо большое - скачали, сейчас заценим...
Очень смешно. Всем известно, что настоящий ркн не занимается "инспектированием, модификацией [...] отслеживанием трафика [...] и диагностикой проблем". Ркн просто запрещает и блокирует.
Да да а у ютуба просто сервера старые…
Интресная штука. Собираюсь попробовать с помощью неё отреверсить api одного приложения.
Я буду реверсить два приложения кто больше?
молись, чтобы в приложении не было строгой привязки к оригинальному сертификату сервера
Допустим мы добавили рут в траст. Но Хром не будет ходить через QUIC, пока не укажешь сайт в настройке --origin-to-force-quic-on.
Они это как то решили, кто-нибудь знает?
>Но Хром не будет ходить через QUIC, пока не укажешь сайт в настройке --origin-to-force-quic-on.Пчёлы против мёда?
> Но Хром не будет ходить через QUIC, пока не укажешь сайт в настройке --origin-to-force-quic-onБудет. Первый реквест нет, а потом получит alt-svc и пойдет через QUIC.
> Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системахинтересный момент, кстати. не увидел негативных комментов.
вот слежка вообще - это плохо, любой эксперт расскажет. а вот в слежка корпоративных системах - это нормально. но ведь одно от другого принципиально не отличается. откуда тогда диаметрально противоположные оценки явлений?
Очевидно же - ВП на марше :).
Принципиально отличается: в корпоративной сети нет личного трафика.
а что такое личный трафик? нужно уточнить этот момент.
Любой, не относящийся напрямую к исполнению трудовых обязанностей.
хорошо. но проблема в том, что тот же принцип есть везде.вот взять тот же гугл - трафик никак с ним не связанный(не через их андроид/браузер/сервисы) гуглом не отслеживается. ситуация как и на работе: не хочешь слежки - не пользуйся/увольняйся.
в чём тогда смысл лозунгов про гуглозонды и подобное?
Нормальные люди вообще предупреждают о слежении. Помню была у меня одна из первых работ где я не знал что за мной наблюдают и нас послали в командировку. Так как ноутбук был рабочий, ну я домашний не взял. Был молодой, одинокий, без особого опыта работы. Ну и посетил (безопасный) сайт для взрослых в отеле. Кто ж знал что админ следит? Меня вскоре уволили. Так-что не только в корпоративной сети, но и на корпоративных компьютерах. Неприятная была ситуация.
На самом дел это ЛПП. Основное назначение mitmproxy - это отладка мобильных и веб-приложений. Иными словами - замена Fiddler и Charles. А перехват на потоке питоновский скрипт не потянет. Он и отладку веб-приложений еле-то тянет.
А на потоке и не надо. Надо конкретных пользователей перехватывать, если мы о корпоративной сети говорим. Ну и про то, что Питон якобы отладку веб-приложений еле тянет ты лукавишь, всё там замечательно на железе десятилетней давности.
Ну, Charles пофункциональней будет. Там и распаковка gzip и парсинг json. Но без QUIC, да.
> вот слежка вообще - это плохо, любой эксперт расскажет. а вот в слежка корпоративных системах - это нормально. но ведь одно от другого принципиально не отличается. откуда тогда диаметрально противоположные оценки явлений?Да потому, что ты добровольно подписал трудовой договор. Никто насильно не заставлял. Если там прописаны какие-то ограничения - изволь соблюдать.
Совсем другое дело, когда ты договор добровольно не подписывал. А какие-то левые люди решили, что им надо за тобой следить. Это уже диаметрально противоположный расклад.
И что ты сделаешь? В суд подашь или просто обидишься?
> Совсем другое дело, когда ты договор добровольно не подписывалты добровольно пользуешься фоксом/хромым/разными сайтиками/ещё чем-то со слежкой. также никто насильно не заставлял, не так ли?
> сайтиками/ещё чем-то со слежкой. также никто насильно не заставлялТолько я с сайтиками не подписывал договор в котором прописана ответственность сторон, не так ли?
Значит могу их хотелки слать лесом и резать их отслеживающие трекеры у себя.
раз договора нет - сайтик может слать твои хотелки и делать с тобой что угодно. браузер тоже может делать что угодно - затиреть тебе весь диск в неожиданный момент, сливать пароли, просто падать через пару секунд после запуска. договор то никто не подписывал.а почему тогда эксперты ноют "за нами следят"/"долой слежку"? всё же логично получается: в корпоративной среде ты подписал договор, а вне этой среды никто никаких договоров не подписывал и каждый может делать что хочет.
>и каждый может делать что хочетНе может. На то государство есть со своим законодательством.
то есть значительная часть коментаторов с лозунгами про гуглозонды просто фантазирует, верно? ибо как могут существовать и применяться зонды, если это запрещено законодательством и за подобное наказывают.или ты просто выдрал из контекста и дал шаблонный ответ?
>браузер тоже может делать что угодно - затиреть
> тебе весь диск в неожиданный момент, сливать пароли, просто падать через
> пару секунд после запуска. договор то никто не подписывал.А разработчики могут присесть по статьям 272, 273 УК РФ или аналогичным статьям в большинстве государств мира
это сразу мимо, потому как в сторону слежки от государств(тех самых "статей") завываний ещё больше, чем по поводу гугла. ты либо подчиняешься государству и не ноешь, когда это государство следит в том числе за тобой, либо ноешь, но тогда не прячешься за законы.я конечно понимаю твой и остальных экспертов уровень(нулевой), но постарайся хотя бы минимально логично мыслить.
> это сразу мимо, потому как в сторону слежки от государств(тех самых "статей")
> завываний ещё больше, чем по поводу гугла. ты либо подчиняешься государству
> и не ноешь, когда это государство следит в том числе за
> тобой, либо ноешь, но тогда не прячешься за законы.
> я конечно понимаю твой и остальных экспертов уровень(нулевой), но постарайся хотя бы
> минимально логично мыслить.Ты по-моему потерял нить обсуждения или вообще не понимаешь, о чем говоришь. Я отвечал на аргумент, что "раз договора нет - сайтик может слать твои хотелки и делать с тобой что угодно. браузер тоже может делать что угодно - затиреть тебе весь диск в неожиданный момент, сливать пароли, просто падать через пару секунд после запуска. договор то никто не подписывал.". Так вот, даже если договора нет, то совершать преступление разработчик браузера или владелец сайта не может без последствий для себя. Это такая же глупость как если сказать, что "производитель мороженого может делать что угодно, крысиный яд в мороженое класть, договор то никто не подписывал".
я уже говорил тебе, что тебе нужно сделать, чтобы твои посты были хотя бы похожи на какое-то мнение/рассуждения. то, что ты выдернул фразу из контекста(потерял ту самую "нить обсуждения") - стоит ноль. но опять же зная твой уровень, давай проще объясню - может ты действительно пытаешься что-то понять/высказать, но просто не получается.есть эксперты с лозунгами про гуглозонды. но лозунгов про корпзонды почему-то нет. я попросил разъяснений этого противоречия. примерное содержание дальнейшего диалога:
> корпзонды идут вместе с договором на добровольной основе
> гуглозонды тоже добровольно
> на гуглозонды нет явного договора, поэтому я могу их хотелки слать лесом(и в целом делать что угодно)
> гугл тоже может слать твои хотелки, если договора нет(и также делать что угодно)далее ты пишешь "законы запрещают подобное". я сообщаю тебе о противоречии - в одном случае(слежка от гугла и прочих) идут рассказы про приоритетность/верховенство государства(закона), а в другом случае(слежка/блокировки со стороны государства) - эта приоритетность/верховенство куда-то девается и эксперты говорят "долой слежку"(т. е. один из аспектов того самого государства/закона). вот это противоречие тебе нужно объяснить в первую очередь, иначе твоя позиция не является последовательной и отсылка к законам неуместна.
> 1. Че ты несёшь? 2. Ты наркоман?) 3. Что ты там можешь знать, если ты зарегистрирован 03 авг 2022?очередной эксперт кончился. зачем тогда начинал спорить, рассказывать что-то про "потерял нить" и прочее, если не смог ответить на базовый вопрос.
> Я тебе лишь указал на бредовость твоего тупого утверждения, что твой браузер может делать что угодно, диск затереть или наркотиками, там, торговать. Мне неинтересна твоя предыдущая дискуссия про зонды.
а я ведь сразу сказал - эксперт просто выдернул фразу из контекста и "ответил" на неё. каково основное свойство человека по части мышления/логики? - связность этого мышления/непротиворечивость. чем отличается эксперт? - тем, что всё "мышление" эксперта построено на отдельных лозунгах/аксиомах, которые друг с другом никак не связанны и зачастую противоречат сами себе, т. е. отсутствием связанности.
поэтому каждый эксперт любит выдёргивать отдельные куски из сообщений, а далее начинать рассказывать истории в духе "меня не волнует контекст"/"я говорил именно о <...>, при чём здесь остальное" и т. п., потому как связать набор фактов в единую картину эксперт не способен. ах, да, любой эксперт будет пытаться проецировать свою слабость на оппонента. то же "потерял нить" и подобные истории.
> Зонды - это тоже вопрос регулирования императивными нормами закона или соглашениями.
дополнительное подтверждение тезисов выше. к чему стремиться человек при обсуждении каких-либо вопросов? - к пониманию сути и, как следствие, к работоспособности/эффективности выработанных решений. что мы видим здесь? - просто отсылки на закон и прочее, к чему данный персонаж никакого отношения не имеет.
ладно, ничего дельного эксперт уже не сообщит.
>[оверквотинг удален]
> <...>, при чём здесь остальное" и т. п., потому как связать
> набор фактов в единую картину эксперт не способен. ах, да, любой
> эксперт будет пытаться проецировать свою слабость на оппонента. то же "потерял
> нить" и подобные истории.
>> Зонды - это тоже вопрос регулирования императивными нормами закона или соглашениями.
> дополнительное подтверждение тезисов выше. к чему стремиться человек при обсуждении каких-либо
> вопросов? - к пониманию сути и, как следствие, к работоспособности/эффективности выработанных
> решений. что мы видим здесь? - просто отсылки на закон и
> прочее, к чему данный персонаж никакого отношения не имеет.
> ладно, ничего дельного эксперт уже не сообщит.Ты опять словоблудишь и уходишь от темы. Ты там в своей нити невнятной аргументации допустил полнейшую чушь, когда сказал, что браузер имеет право затереть диск и так далее. Я лишь тебя ткнул в то, что это полнейшая дурость, так как это не только запрещено, а запрещено под страхом уголовной ответственности. И, возможно, какому-нибудь дураку, который тебе поверит, сохранил свободу.
> Совсем другое дело, когда ты договор добровольно не подписывалНу как это? Паспорт есть? Паспорт это договор с "государством", а с ним все выпускаемые Законы в той стране ты по умолчанию этим договором принимаешь, соглашаешься. Так что если ФСБ решило, что им надо следить, то они будут следить и ты с этим ДОБРОВОЛЬНО согласился, когда взял Паспорт и подписал его
Наверное от того, что код который вы пишете во время работы не ваш и вообще, всё что вы делаете, делаете от лица фирмы и почему бы ей не проследить за работой? Как никак, вам за это платят. И особенно никто не скрывает, что всё что вы делаете на работе - отслеживается.Дома же, вам никто не платит за просмотр
Т.е. мы можем здесь сделать сравнение такое:
Почему просмотр стриптиза в специальном заведении это нормально
А просмотр стриптиза через бинокль в окно соседки, это нет?
Ведь опять же, и там и там раздеваются.
> и вообще, всё что вы делаете, делаете от лица фирмы и почему бы ей не проследить за работой? Как никак, вам за это платятподразумевается, что сотрудники исполняют вполне конкретный список обязанностей, а не продаются в рабство на время рабочего дня. поэтому не всё, конечно же.
> А просмотр стриптиза через бинокль в окно соседки, это нет?
это неверная аналогия. если эта соседка в окне уведомлена о наблюдателях(или даже это и является целью) - то здесь всё также нормально. а так, если кто-то прилюдно раздевается - очевидно жалобы "за мной подглядывают" сразу идут мимо.
Удобная штука за соседкой следить, куда это она ходит по сайтам.
Не могу понять для кого этот инструмент?
Для митм надо иметь доступ к клиенту для установки сертификата. Для дебагинга на клиенте можно юзать начиная с wireshark до спец инструментов
Виршарку понадобятся ключи для расшифровки TLS-трафика. Их не всегда просто получить.
Это не интерактивный инструмент.
> Это не интерактивный инструмент.Нет user friendly gui?) Тыж линуксоид. И вообще cерфи инет через lynks.
Для хакеров или как тут пишут - пентестеров. Судя по администрированию сообщений - не удивлен. Помогает админ чем может.
> Для хакеров или как тут пишут - пентестеров. Судя по администрированию сообщений
> - не удивлен. Помогает админ чем может.Хакккер это который шарит в пк. Тот который ты имеешь ввиду называется кракер)
Просто устанавливается СВОЙ сертификат через AD и все дела.Такое уже давно делает любой DPI.
> Для митм надо иметь доступ к клиенту для установки сертификатаТак это не проблема. Сберпанк рассылает уведомление - Если не установите, то не получите доступ к своим кровным! И всё. Этого достаточно, чтобы установили десятки миллионов. Уже просят устанавливать "отечественные" корневые и ноль проблем с этим, устанавливают :)))
А лучше bettercap?
Интересно, с чего бы у них на картинке старый МакПро и старый Ыфон как сервер и клиент? :)
Чтобы знать что они там шлют в эпл.
> Интересно, с чего бы у них на картинке старый МакПро и старый
> Ыфон как сервер и клиент? :)Давно картинку не обновляли, лень рисовать. Вообще в linux проблема с дизайнерами) ( кроме KDE, которая Plasma, Которая кроссовки, которая KDE ).
Сейчас приложения игнорируют сертификаты, установленные на телефон, используют свои хитро спрятанные.
А толку, если xposed?
Для тестеров есть Charles. Или тут что-то иное?
Charles - платный и неопенсорсный. Fiddler - тоже проприетарный, но на шарпе, декомпилится элементарно, но нафиг. mitmproxy функциональнее, у него даже API есть.
Fiddler это не совсем то. Он как-бы перехватчик, а не прокси. Как-бы не одно и то же. А прокси вообще можно допустим к анонимным сетям присобачить, с чем некоторые перехватчики не справятся.
Показали бы ещё на пальцах как настроить перехват этого QUIC. Это же ведь не просто прокси указать, с QUIC такое не пройдёт. Там или iptables или tun какой-нибудь.