自己的文自己回
最近遇到一個有趣的 MITM (?) 的例子
使用者透過瀏覽器登入網站 發送的 RESTful API 的特定 response
都會被替換掉內容 !!
舉個例子來看 使用者發送的 https://example.com/resources/resource 的 API
網站收到的是 application/json 的回傳格式 內容是
{
"address" : "0x123456789ABCDEF"
}
但是在使用者的環境 都拿到固定的 0x111111111111111
在還沒碰觸到使用者機器的情況之下 該如何解決通靈的問題呢 XD
檢查過系統後台的 DB 確定 address 並沒有在真實資料庫中
隔空抓藥有以下三種可能性:
- 使用者被 MITM (Man-in-the-middle) 攻擊
- 使用者連上釣魚網站 (phashing)
- 使用者的 DNS 被竄改 (DNS Spoofing)
其中
MITM 可以透過 1) 在系統安裝 mitmproxy 並且 2) 安裝惡意的 Root CA
釣魚網站則可以透過 Cyrillic alphabets 讓使用者連到釣魚網站
DNS 竄改則是直接將目標網站導向到釣魚網站
~ 以下開放更多隔空抓藥 ~