Archief
- De topics van lang geleden
Inhoud gesniffde SSL-stream bekijken
Weet iemand een tooltje om de inhoud van een gesniffde
SSL-verbinding te bekijken?
Randvoorwaarden:
* ik heb de private key van de server niet
* ik heb wel goed zicht op de client (en kan daarin ook de
master/session key zien(!)).
* er wordt gebruik gemaakt van client authentication
* liefst geen MitM-oplossing maar echt loganalyse
Wireshark heeft 'Follow SSL stream', maar daarvoor moet als
ik het goed begrijp de private key van de server aanleveren,
en die heb ik niet. Een dergelijke tool die hetzelfde doet
maar op basis van de session key zou ideaal zijn.
SSL-verbinding te bekijken?
Randvoorwaarden:
* ik heb de private key van de server niet
* ik heb wel goed zicht op de client (en kan daarin ook de
master/session key zien(!)).
* er wordt gebruik gemaakt van client authentication
* liefst geen MitM-oplossing maar echt loganalyse
Wireshark heeft 'Follow SSL stream', maar daarvoor moet als
ik het goed begrijp de private key van de server aanleveren,
en die heb ik niet. Een dergelijke tool die hetzelfde doet
maar op basis van de session key zou ideaal zijn.
Reacties (6)
Waarom wil je dit?
Als je geen kwade bedoeling hebt, zou ik eens gaan kijken
bij SSL proxies. Als systeembeheerder is het afhankelijk van
de implementatie mogelijk de sessie plain text te sniffen.
Ik geef geen garanties over juridische aspecten.
Als je geen kwade bedoeling hebt, zou ik eens gaan kijken
bij SSL proxies. Als systeembeheerder is het afhankelijk van
de implementatie mogelijk de sessie plain text te sniffen.
Ik geef geen garanties over juridische aspecten.
30-11-2006, 00:49 door
raboof
Waarom wil je dit?
Om een falende webservice-aanroep die over HTTPs gaat te
debuggen.
zou ik eens gaan kijken bij SSL proxies. Als
systeembeheerder is het afhankelijk van de implementatie
mogelijk de sessie plain text te sniffen.
systeembeheerder is het afhankelijk van de implementatie
mogelijk de sessie plain text te sniffen.
Zoals gezegd ben ik niet echt op zoek naar een
proxy/MitM-oplossing. Ik gebruik normaal gesproken al een
prachtige proxy-tool voor het debuggen van
webservice-aanroepen (WebScarab), maar in dit geval doet het
probleem zich vreemd genoeg wel voor bij een directe
aanroep, maar niet bij een aanroep die via WebScarab gaat.
Vandaar dat ik de directe aanroep wil kunnen analyseren, en
niet een die via een proxy verloopt (want blijkbaar is er
een relevant verschil).
Overigens werken veel proxy/mitm-tools in dit geval ook niet
omdat mijn kant zich met een client-certificaat moet
authenticeren. WebScarab ondersteunt dat overigens dus wel,
mooi spul hoor.
Ik geef geen garanties over juridische aspecten.
Dat verwacht ik ook niet van een anoniempje op een forum.
Vol;gens mij wil je niet de inhoud, maar de sessieopbouw
bekijken.
Kijk even naar een paar van de volgende zaken:
- Geeft de server foutmeldingen?
- Wordt de sessie goed opgebouwd, maar zie je geen verkeer?
- Wordt er goed omgegaan met cookies en certificaten (CA e.d.)?
- Wat is de netwerkopbouw:
- Firewalls
- Wordt er gebruik gemaakt van NAT of loadbalancing?
- MTU (Door encapsulatie kan een sessei niet goe opgebouwd
worden)
Met andere woorden creeer een compleet plaatje van de
situatie en ga daarvandaan 1 voor 1 wegstrepen.
Suc6
bekijken.
Kijk even naar een paar van de volgende zaken:
- Geeft de server foutmeldingen?
- Wordt de sessie goed opgebouwd, maar zie je geen verkeer?
- Wordt er goed omgegaan met cookies en certificaten (CA e.d.)?
- Wat is de netwerkopbouw:
- Firewalls
- Wordt er gebruik gemaakt van NAT of loadbalancing?
- MTU (Door encapsulatie kan een sessei niet goe opgebouwd
worden)
Met andere woorden creeer een compleet plaatje van de
situatie en ga daarvandaan 1 voor 1 wegstrepen.
Suc6
Weet iemand een tooltje om de inhoud van een gesniffde
SSL-verbinding te bekijken?
iets met kuilen graven enzo :-)
Maar serieus: Het heeft misschien maar indirect met jou
vraag te maken, maar apache maakt aparte logs aan voor SSL
requests (of kan dat in ieder geval doen), misschien kan je
daar de informatie in vinden die je nodig hebt zonder de
inhoud van een SSL sessie te hoeven bekijken.
30-11-2006, 19:56 door
raboof
De sessieopbouw kon ik al zien met Wireshark. Daarmee zag ik
ook dat er data over de lijn die kant op ging na de
handshake, en er pas na de timeout weer data terug kwam. De
vraag was dus (onder andere) of ik een incomplete request
stuurde, of dat de andere kant onterecht bleef wachten. Daar
hoopte ik achter te komen door in de stream te kijken.
Deze keer ben ik er met de samenwerking van de mensen aan de
serverkant achter gekomen dat het probleem inderdaad bij hen
zat. De volgende keer zitten er misschien minder
hulpvaardige mensen aan de andere kant, dus ik ben nog
steeds erg geinsteresseerd in een tool om me te helpen de
zaken aan mijn kant nog beter en makkelijker te kunnen bekijken.
Het gaat om een SOAP-webservice die het met kleine
hoeveelheden aanroepen gewoon deed, maar na wat grotere
hoeveelheden snel achter elkaar (~100) dienst begon te weigeren.
ook dat er data over de lijn die kant op ging na de
handshake, en er pas na de timeout weer data terug kwam. De
vraag was dus (onder andere) of ik een incomplete request
stuurde, of dat de andere kant onterecht bleef wachten. Daar
hoopte ik achter te komen door in de stream te kijken.
Deze keer ben ik er met de samenwerking van de mensen aan de
serverkant achter gekomen dat het probleem inderdaad bij hen
zat. De volgende keer zitten er misschien minder
hulpvaardige mensen aan de andere kant, dus ik ben nog
steeds erg geinsteresseerd in een tool om me te helpen de
zaken aan mijn kant nog beter en makkelijker te kunnen bekijken.
Het gaat om een SOAP-webservice die het met kleine
hoeveelheden aanroepen gewoon deed, maar na wat grotere
hoeveelheden snel achter elkaar (~100) dienst begon te weigeren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
