內網很安全?錯錯錯!附攻擊演示
給企業做單點登入諮詢和實施的時候,講到通訊環節的安全性,常聽到這種聲音:這些系統只在內網使用,不用https沒關係!
包括在我前一篇《 ofollow,noindex" target="_blank">看完48秒動畫,讓你不敢再登入HTTP網站 》的評論裡,也有不少程式猿覺得我演示的案例,在現實網路中難以實現。
這個觀點非常錯誤和危險,並且還特別迎合直觀:內網遮蔽了絕大部分外部的黑客攻擊,應該會安全得多吧?
為此,我把給企業做培訓和顧問時,常會演示的程式,給大家做個分享。
當內網中有人執行這個程式,你在自己電腦上網會被同事實時“直播”;手機明明連的是公司有“安全”標記的wifi,訪問單位OA時竟也會被輕鬆嗅探走賬號密碼。大部分人都會目瞪口呆,徹底改變“內網很安全”、“標記了'安全'的公司wifi很安全”的認識。
這個版本,是在我github開源的HttpHijacker基礎上,增加了三個功能:
1. 網路裝置嗅探
2. ARP欺騙
3. 資料包轉發
涉及到的都是最基礎的網路協議。
大家在自己電腦執行本程式,可以看到同一區域網段或wifi的上網裝置,並選擇其中任一裝置執行監聽。
被監聽裝置上的所有http訪問,都會實時被該程式監聽並記錄。
選擇被監聽到的任一條記錄,點選“劫持選中http會話”,你的瀏覽器會自動開啟該站點,並用被劫持者的賬號身份登入,可隨意檢視和修改資料。
——咳咳,考慮到好奇心甚的程式猿們,拿該程式可能造成的影響或者揹負的嫌疑,我把程式做了一點限制:程式碼不開源;監聽記錄URL做截斷;將可劫持的域名限制為attack-demo.baibaomen.com。
大家要驗證和演示http會話劫持,請讓其他同事用區域網的電腦或wifi手機,訪問http://attack-demo.baibaomen.com,在其中輸入任意賬號或密碼後進入個人設定介面。與此同時,你在電腦上啟動監聽程式,選擇或手動輸入同事電腦IP點選監聽,將實時監聽到該同事的站點瀏覽情況,選擇劫持還將自動以其身份進入被劫持系統,隨意檢視和操作資料。
程式新增到了 https://github.com/baibaomen/Baibaomen.HttpHijacker ,下載“百寶門內網攻擊演示程式.zip”,解壓即可執行。程式在本人開源的HttpHijacker上,增加了一些網路攻擊的演示功能。
程式執行時會在網路上啟動ARP攻擊,請慎重體驗。對於閘道器上做了MAC地址繫結的網路環境,該攻擊一般只會導致目標機器和閘道器通訊的中斷(單向MAC欺騙成功)。
希望通過這個程式的演示,能讓大家都意識到網路安全性很脆弱。也藉此給出的警示,能儘快把國外已經先行力推的https,引入我們企業的資訊化建設中來。至少,希望在SSO這個把所有雞蛋(被整合系統的賬號密碼)都放在一個籃子的場景裡,https能儘快成為企業認可的必選項。