Salut à tous, je suis sur kali linux et j'ai configurer un nom de domaine qui me redirige vers mon routeur.
Il s'agit ici de montrer dans le cadre de mon TPE ( projet en premiere ) que malgré l'utilisation de l'authentification à deux facteurs nous ne sommes pas à l'abris.
je genere une url sauf que j'obtient une erreur 403 mais cette fois-ci sur le navigateur internet, et je me retrouve avec comme fond de la page, la page de mon routeur.
Je me demande donc si mon routeur ne demande pas un nom d'utilisateur et un mot de passe ( celui pour accéder à ses paramètres ) aux personnes se connectant au site.
Merci d'avance de votre aide
( Sinon je pense que c'est peut-etre parce que je n'ai toujours pas mis en place d'hebergeur, si c'est effectivement le probleme j'aimerai bien un tutoriel qui explique comment le faire sur kali linux )
- Edité par Hexakosioihexekontahexaphobie 11 février 2019 à 18:30:56
En fait cette "attaque" n'a rien à voir avec l'authentification à deux facteurs puisqu'elle compte sur le fait que:
Un utilisateur clique sur un lien d'un mail provenant d'une adresse inconnue, sans savoir ce qu'il fait,
Il poursuit sur une page HTTP dont l'URL est incorrecte,
etc.
Bref, ce n'est pas une attaque mais s'appuie essentiellement sur la méconnaissance de l'utilisateur.
Si tu veux mettre en oeuvre une attaque, il y a en a plein d'autres qui sont très intéressantes et qui utilisent de vraies failles de sécurité. Dès lors qu'on compte sur des failles humaines, tout est possible, mais trop facile.
La manipulation que j'essaie d'effectuer avec.evilginx2 me paraît relativement simple, cette opération malgré le fait que je débute sur Linux devrait être realiszblr non
Concernant la documentation je l'ai bien lue je et n'ai pas oublié la commande citée par milman.
( Ne t'inquiètes je ne le prends pas mal c'est tout a fait normal et juste de ta part de me dire ça, par contre il me semble qu'il n'est pas illegal de réaliser une operaopér de phishing puisque je ne cause.de dommage à personne )
En fait HTTPS permet de sécuriser et d'authentifier un site en fonction de son URL. Si tu passes sur une autre URL, tu n'as rien piraté du tout, tu as contourné le problème, mais rien fait vis à vis d'HTTPS.
Une attaque qui pourrait avoir du sens serait le ARP cache poisonning par exemple. C'est une vraie attaque réseau, qui est toujours valable et est très puissante sur un réseau local. Elle est détaillée dans mon cours.
Ok j'avais juste regardé les logs et je n'avais pas compris qu'il y avait un mode interactif.
Il me semble donc que c'est le "challenge" de let's encrypt qui échoue.
Déjà est que tu es bien propriétaire de mondomaine.ga et est que api.twitter.com.mondomaine.ga pointe bien vers ta machine ?
elalitte a écrit:
En fait HTTPS permet de sécuriser et d'authentifier un site en fonction de son URL. Si tu passes sur une autre URL, tu n'as rien piraté du tout, tu as contourné le problème, mais rien fait vis à vis d'HTTPS.
En effet c'est une attaque de phishing qui a pour but de récupérer les identifiants de connexions d'un site. La nouveauté c'est que là il récupère également le jeton d'identification 2FA.
Si j'ai bien compris le but de son TPE c'est de montrer que même avec un 2FA une attaque de phishing est possible et qu'il faut toujours faire attention à l'URL.
Sinon il est tout même possible d'utiliser ce genre d'attaques sur une machine infecté dans lequel on maîtrise les requêtes DNS et dons lequel on a installé un certificat d'autorité racine.
Erreur 403 [ TPE]
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Ubuntu est un terme Bantou qui signifie :"Slackware est trop compliqué pour moi"
En matière de sécurité, 90% des soucis sont au niveau de l'interface chaise/clavier
Ubuntu est un terme Bantou qui signifie :"Slackware est trop compliqué pour moi"
En matière de sécurité, 90% des soucis sont au niveau de l'interface chaise/clavier