The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

27.12.2016 12:44  Выпуск mitmproxy 1.0, инструмента для анализа трафика HTTP/HTTPS

После шести лет разработки представлен релиз проекта mitmproxy 1.0, в рамках которого развивается инструментарий для исследователей безопасности и разработчиков приложений, позволяющий отслеживать активность в рамках транзитных HTTP- и HTTPS-соединений. Mitmproxy может рассматриваться как специализированный инструмент, рассчитанный на перехват трафика внутри соединений, установленных по HTTPS, с возможностями по его инспектированию, модификации и повторному воспроизведению. Исходные тексты проекта написаны на языке Python и распространяются под лицензией MIT.

Для анализа HTTPS mitmproxy размещается на транзитном узле, на котором перехватывает запросы клиента и транслирует их в отправляемые от себя запросы к серверу. С запрошенным в процессе клиентского сеанса сервером mitmproxy устанавливает обычное HTTPS-соединение, а с клиентом от имени целевого хоста устанавливается фиктивное соединение с подставным SSL-сертификатом, который генерируется для клиента на лету. Принятый от клиента трафик перенаправляется целевому хосту, а получаемые ответы транслируются. Для того, чтобы подобный подставной сертификат не приводил к выводу браузером предупреждений о проблемах с безопасностью соединения, в систему пользователя предлагается установить корневой сертификат mitmproxy, что можно сделать как вручную, так и открыв в браузере специальный хост mitm.it.

Следует отметить, что основное назначение mitmproxy не проведение MITM-атак, а организация отслеживания трафика в корпоративных системах и диагностика проблем, например, отслеживание скрытой активности приложений. Для перенаправления трафика через mitmproxy поддерживается несколько методов, таких как указание адреса mitmproxy в качестве HTTP-прокси в настройках браузера, работа в виде SOCKS5-прокси, использование в роли обратного прокси перед HTTP-сервером и организация прозрачного проброса при помощи правил пакетного фильтра или заворачивания маршрутизации.

Система поддерживает HTTP/2, Websockets, нормализацию порядка следования пакетов в потоке, подключение скриптов-обработчиков для модификации трафика на лету, сохранение запросов для дальнейшего повторного воспроизведения, генерацию TLS-сертификатов для перехваченных сеансов, чистку заголовков о времени модификации для отключения кэширования на стороне клиента.

В состав mitmproxy входит несколько компонентов:

  • mitmproxy - реализация прокси, выполняющего перехват соединений и разбор сеансов TLS/SSL.
  • mitmdump - утилита командной строки для анализа трафика, работающая по аналогии с tcpdump;
  • pathoc и pathod - реализация обратных прокси (reverse proxy) для клиентов и серверов HTTP, позволяющих вносить изменения в содержимое HTTP-запросов и ответов (например, можно блокировать определённые запросы или подменять конфиденциальную информацию);
  • mitmweb - web-интерфейс для управления и анализа трафика через web-браузер.


  1. Главная ссылка к новости (https://corte.si/posts/code/mi...)
  2. OpenNews: Уязвимость, позволяющая вклиниться в стороннее TCP-соединение
  3. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
  4. OpenNews: Стабильный релиз прокси-сервера Squid 3.5
  5. OpenNews: Проблемы с безопасностью при использовании протокола автоматической настройки прокси WPAD
  6. Обход блокировки трафика провайдером при помощи iptables
Лицензия: CC-BY
Тип: Программы
Ключевые слова: mitmproxy, proxy, mitm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 14:08, 27/12/2016 [ответить] [смотреть все]
  • +7 +/
    > основное назначение mitmproxy не проведение MITM-атак

    Да-да-да, мы так и поверили

     
     
  • 2.3, тоже Аноним, 14:16, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +21 +/
    Если некто может впихнуть вам в систему левый корневой сертификат - он вас уже поимел, говорить о безопасности бессмысленно.
    Если же вы сами ставите себе в рабочую систему левые сертификаты - "зачем нам враги, когда у нас есть такие друзья"?
     
     
  • 3.7, vantoo, 15:36, 27/12/2016 [^] [ответить] [смотреть все]
  • +/
    Дома нет, но кому надо на рабочих машинах админ установит этот сертификат.
     
     
  • 4.8, Crazy Alex, 15:54, 27/12/2016 [^] [ответить] [смотреть все]
  • +1 +/
    Тогда какой это MITM? Организация на своих машинах мониторит свой трафик
     
     
  • 5.16, тоже Аноним, 17:19, 27/12/2016 [^] [ответить] [смотреть все]
  • +/
    А те, кто сгенерил на своих дорвеях сертификаты, подпертые тем же корнем, просто... весь текст скрыт [показать]
     
     
  • 6.35, Аноним, 14:55, 29/12/2016 [^] [ответить] [смотреть все]  
  • +/
    если организация не в состоянии обеспечить защиту и контроль использования своег... весь текст скрыт [показать]
     
  • 3.11, Аноним, 16:19, 27/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А если мне подебажить надо ... весь текст скрыт [показать]
     
     
  • 4.17, тоже Аноним, 17:20, 27/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Мне слово рабочую нужно было капсом написать, да Незаметно получилось ... весь текст скрыт [показать]
     
  • 3.27, tensor, 05:40, 28/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Про DLP слыхали?
     
     
  • 4.40, zanswer CCNA RS, 06:35, 31/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Вестимо Data Loss Prevention, вряд ли о нём часто слышат не причастные к ИБ люди... весь текст скрыт [показать]
     
  • 3.41, freehck, 15:31, 31/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Кстати да, именно этим наша компания поздравила сотрудников с Новым Годом Всем ... весь текст скрыт [показать]
     
  • 2.39, Аноним, 21:50, 30/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Однако ж скрипткидизов с сабжем таки попадалось Есть даже комплекты кульхацкера... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 14:09, 27/12/2016 [ответить] [смотреть все]  
  • +1 +/
    Яровая одобряет.
     
  • 1.4, Аноним, 14:30, 27/12/2016 [ответить] [смотреть все]  
  • +/
    Таки да, или да ... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 16:17, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Удобно дебажить приложения на андроиде/айфоне, например.
     
     
  • 3.26, chinarulezzz, 21:53, 27/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Не понимаю за что тебя заминусовали. Верно же говоришь.
     
     
  • 4.43, Андрейка, 14:08, 03/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Специально поднимал хост с прозрачным mitmproxy, когда он еще не был 1 0 в гейм-... весь текст скрыт [показать]
     
  • 1.5, Аноним, 14:33, 27/12/2016 [ответить] [смотреть все]  
  • +/
    <newbmode>ну и как этой штукой сматреть пароли вкантактике?</newbmode>
     
     
  • 2.6, тоже Аноним, 14:46, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Шаг первый рассказываешь пацанам из команды Вконтактика, как этой штукой классн... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, proud_anon, 16:22, 27/12/2016 [ответить] [смотреть все]  
  • –1 +/
    "Исходные тексты проекта написаны на языке Python ... основное назначение mitmproxy не проведение MITM-атак, а организация отслеживания трафика в корпоративных системах.." ха-ха 3 раза - петон для корпоративнеых пользователей
     
     
  • 2.29, Аноним, 06:46, 28/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Прикинь, Python, Java, C чаще всего для создания корпоративных приложений юзают... весь текст скрыт [показать] [показать ветку]
     
  • 2.31, Аноним, 14:29, 28/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    То ли дело Borschelisp ... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 16:33, 27/12/2016 [ответить] [смотреть все]  
  • +/
    Lets Encrypt поддерживает?
     
     
  • 2.19, Аноним, 17:41, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Что несешь?
     
     
  • 3.23, Аноним, 19:00, 27/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А что такого Может кому-то надо свой таким образмо исследовать, не пропадать же... весь текст скрыт [показать]
     
     
  • 4.24, rshadow, 19:15, 27/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    LE проверяет кому выдает сертификаты На неподконтрольный домен нельзя получить ... весь текст скрыт [показать]
     
  • 4.38, Аноним, 01:25, 30/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Если у тебя есть свой веб-сервер с доменом, и на него ты получил сертификат от L... весь текст скрыт [показать]
     
  • 1.14, Аноним, 16:41, 27/12/2016 [ответить] [смотреть все]  
  • –5 +/
    ага, на бидоне писать ТАКОЕ и задержки и издержки по ресурсам будут ТАКИЕ что... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 17:30, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    > ага, на бидоне писать ТАКОЕ !!
    > и задержки и издержки по ресурсам будут ТАКИЕ что ... ужос, ужос .
    > даже на леговесных аналогах вроде руби(некоторые возились с движком, используемым также в > metasploit, например. также  в корпоративных DLP и одной софтовой(по штилю)IDS он тоже используется).

    ruby - это легковесный аналог python?

     
  • 2.30, Аноним, 06:48, 28/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Что Ты Несёшь Криворукая макака и на асме напишет так, что тормозить будет да... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Аноним, 23:31, 31/12/2016 [^] [ответить] [смотреть все]  
  • +/
    По крайней мере metasploit - кусок глюкавого гумна которое работает через раз Н... весь текст скрыт [показать]
     
  • 1.20, Аноним, 17:55, 27/12/2016 [ответить] [смотреть все]  
  • +/
    Ой, класс!!)) Это замена wireshark ???
     
     
  • 2.21, Аноним, 18:14, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Нет, это твоя мамка
     
  • 2.28, tensor, 05:41, 28/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее, замена squid+ssl_bump и icap-мониторилки на питоновый комбайн.
     
  • 2.44, Андрейка, 14:11, 03/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Ой, класс!!)) Это замена wireshark ???

    Это дополнение к wireshark, чтобы более подробно http(s) смотреть, а не то убогое, что можно вытащить из libpcap

     
  • 1.22, commiethebeastie, 18:39, 27/12/2016 [ответить] [смотреть все]  
  • +/
    Rp08aR одобряет.
     
  • 1.25, anonymous, 20:08, 27/12/2016 [ответить] [смотреть все]  
  • +2 +/
    Ничего нового. squid уже давно умеет делать mitm в https по описанному сценарию. Жаль только, что privoxy этого не умеет, как не умеет работать через squid
     
     
  • 2.45, Андрейка, 14:13, 03/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Ничего нового. squid уже давно умеет делать mitm в https по описанному
    > сценарию. Жаль только, что privoxy этого не умеет, как не умеет
    > работать через squid

    Только squid не умеет тебе показать все отфильтрованное в красивой веб-мордке и/или в консольке - это раз, а два - на лету определить правила для блокирования/модификации запросов по некоторым условиям

    Не, на squid все это можно, но с костялыми, геммороем и каждый раз конфиг менять, если ты решил логотип ВКшечки заменить на матерное слово своим юзерам

     
  • 1.33, DmA, 16:42, 28/12/2016 [ответить] [смотреть все]  
  • +1 +/
    Вчера принесли ноутбук, на котором все браузеры сообщали, что недоверенное соед... весь текст скрыт [показать]
     
     
  • 2.34, anon99990, 12:55, 29/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Объясните, как может существовать валидный сертификат для всех сайтов? Разве сертификат выдается не для определенного домена и затем подписывается авторизующим центром? И таким образом должен действовать только на одном сайте?
     
     
  • 3.36, Аноним, 15:05, 29/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    банально, юнош, банально вот вам и впихивают левый авторизующий центр в конф... весь текст скрыт [показать]
     
  • 3.37, DmA, 00:32, 30/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Браузеры на компе при получении https сертификата сайта, проверяет время его действия сравния со временем текушего компьютера и смотрят, кем выдан этот сертификат. Если сертификат самоподписанный, то недоверяют ему, если просрочен(закончился или наоборот неначался, то тоже нет доверия, это часто бывает, когда нет время на компе сбилось), если сертификат подписан неким удостоверяющим центром, то проверяется есть ли такой удостоверяющий центр в хранилище сертификатов, если есть то сайт признаётся нормальным. Причём  браузерам будет  пофигу, что все сайты в Интернете будут подписаны всего одним удостоверяющим центром. Главное, чтобы сертификаты были не просрочеными!
    На каждом компьютере в системе установленны по умолчанию. десятки центров сертифкации, а ещё каждая программма, которая при своей установке требует админские права может ешё нафуговать нужные ей корневые удостоверящие центры!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList