"簡単に作れる無料Wi-Fiのワナ" について その2

前回の記事に引き続き動画内容を再現する為の設定や構成をおこなっていきます

重要なお知らせ
今回の実験は安全でないアクセスポイントに接続する事により発生しえるリスクを分かりやすく再現する為であり、クラッキング行為やハッキング行為を助長する物ではありません。
また、実際にこのようなアクセスポイントを運用すると、法令に抵触する恐れがありますので、絶対に行わないでください。
実験に関しては細心の注意を払っており、実験関係者以外が接続出来ない措置を講じております。
この実験により生じた如何なる損害・不利益も STUDIO Hedgehog 及び その関係者は一切の責を負わない物とします。

ゴール目標

  1. 前回の記事で設計したアクセスポイントを経由して送信されたトラフィックを可視化し、ポスト内容やクッキー内容を確認する

準備

  1. 観測用マシンへ BurpSuite をダウンロードします

    • 代替 : Wireshark等

  2. BurpSuiteを起動し、設定から透過プロキシモードを有効にします

  3. BurpSuiteを起動しているマシンのパケットフィルタでtcp:80リクエストを127.0.0.1:8080へリダイレクトします

  4. pfsenseの設定を調整し、パケットが観測用マシンへ送信されるようにします
    例としては、DHCPサーバーが配信するデフォルトゲートウェイを観測用マシンに設定します

実験

  1. 前回利用したターゲット端末で引き続きトラフィックを発生させます
  2. BurpSuiteに表示が現れたら実験は成功です

補足

この実験ではhttpで送信されたメールアドレスやパスワード等のクレジデンシャル情報やクッキーを確認出来ます。
もし、httpsで送信された情報を確認したい場合は、事前にBurpSuiteの証明書チェーンを端末のルート証明書ストアに追加する必要があります。

※動画中では、httpsトラフィックをパススルーする事で証明書チェーンに関する警告の表示が行われないように調整しています。

  • この実験はkzmさんから、公共無線サービスの危険性を動画で紹介したいとの相談があり、STUDIO Hedgehogのエンジニアが動画の撮影にあたり、その一部を技術協力したものであって、 STUDIO Hedgehog ならびにその関係者は、該当コンテンツの品質または、その内容を保証するものではありません。
この記事には続きがあります

コメント

コメントを投稿

このブログの人気の投稿

"簡単に作れる無料Wi-Fiのワナ" について その1

この記事では、 "あなたのパスワード丸見え"簡単に作れる無料Wi-Fiのワナ について解説して行きます。 今回は設置した偽のアクセスポイントの設置方法について解説します。 重要なお知らせ 今回の実験は安全でないアクセスポイントに接続する事により発生しえるリスクを分かりやすく再現する為であり、クラッキング行為やハッキング行為を助長する物ではありません。 また、実際にこのようなアクセスポイントを運用すると、法令に抵触する恐れがありますので、絶対に行わないでください。 実験に関しては細心の注意を払っており、実験関係者以外が接続出来ない措置を講じております。 この実験により生じた如何なる損害・不利益も STUDIO Hedgehog 及び その関係者は一切の責を負わない物とします。
続きを読む

"簡単に作れる無料Wi-Fiのワナ" について その3

前回の記事 に引き続き動画内容を一部補足していきます 重要なお知らせ 今回の実験は安全でないアクセスポイントに接続する事により発生しえるリスクを分かりやすく再現する為であり、クラッキング行為やハッキング行為を助長する物ではありません。 また、実際にこのようなアクセスポイントを運用すると、法令に抵触する恐れがありますので、絶対に行わないでください。 実験に関しては細心の注意を払っており、実験関係者以外が接続出来ない措置を講じております。 この実験により生じた如何なる損害・不利益も STUDIO Hedgehog 及び その関係者は一切の責を負わない物とします。
続きを読む