Inhoud gesniffde SSL-stream bekijken
SSL-verbinding te bekijken?
Randvoorwaarden:
* ik heb de private key van de server niet
* ik heb wel goed zicht op de client (en kan daarin ook de
master/session key zien(!)).
* er wordt gebruik gemaakt van client authentication
* liefst geen MitM-oplossing maar echt loganalyse
Wireshark heeft 'Follow SSL stream', maar daarvoor moet als
ik het goed begrijp de private key van de server aanleveren,
en die heb ik niet. Een dergelijke tool die hetzelfde doet
maar op basis van de session key zou ideaal zijn.
Als je geen kwade bedoeling hebt, zou ik eens gaan kijken
bij SSL proxies. Als systeembeheerder is het afhankelijk van
de implementatie mogelijk de sessie plain text te sniffen.
Ik geef geen garanties over juridische aspecten.
Om een falende webservice-aanroep die over HTTPs gaat te
debuggen.
systeembeheerder is het afhankelijk van de implementatie
mogelijk de sessie plain text te sniffen.
Zoals gezegd ben ik niet echt op zoek naar een
proxy/MitM-oplossing. Ik gebruik normaal gesproken al een
prachtige proxy-tool voor het debuggen van
webservice-aanroepen (WebScarab), maar in dit geval doet het
probleem zich vreemd genoeg wel voor bij een directe
aanroep, maar niet bij een aanroep die via WebScarab gaat.
Vandaar dat ik de directe aanroep wil kunnen analyseren, en
niet een die via een proxy verloopt (want blijkbaar is er
een relevant verschil).
Overigens werken veel proxy/mitm-tools in dit geval ook niet
omdat mijn kant zich met een client-certificaat moet
authenticeren. WebScarab ondersteunt dat overigens dus wel,
mooi spul hoor.
Dat verwacht ik ook niet van een anoniempje op een forum.
bekijken.
Kijk even naar een paar van de volgende zaken:
- Geeft de server foutmeldingen?
- Wordt de sessie goed opgebouwd, maar zie je geen verkeer?
- Wordt er goed omgegaan met cookies en certificaten (CA e.d.)?
- Wat is de netwerkopbouw:
- Firewalls
- Wordt er gebruik gemaakt van NAT of loadbalancing?
- MTU (Door encapsulatie kan een sessei niet goe opgebouwd
worden)
Met andere woorden creeer een compleet plaatje van de
situatie en ga daarvandaan 1 voor 1 wegstrepen.
Suc6
Weet iemand een tooltje om de inhoud van een gesniffde
SSL-verbinding te bekijken?
iets met kuilen graven enzo :-)
Maar serieus: Het heeft misschien maar indirect met jou
vraag te maken, maar apache maakt aparte logs aan voor SSL
requests (of kan dat in ieder geval doen), misschien kan je
daar de informatie in vinden die je nodig hebt zonder de
inhoud van een SSL sessie te hoeven bekijken.
ook dat er data over de lijn die kant op ging na de
handshake, en er pas na de timeout weer data terug kwam. De
vraag was dus (onder andere) of ik een incomplete request
stuurde, of dat de andere kant onterecht bleef wachten. Daar
hoopte ik achter te komen door in de stream te kijken.
Deze keer ben ik er met de samenwerking van de mensen aan de
serverkant achter gekomen dat het probleem inderdaad bij hen
zat. De volgende keer zitten er misschien minder
hulpvaardige mensen aan de andere kant, dus ik ben nog
steeds erg geinsteresseerd in een tool om me te helpen de
zaken aan mijn kant nog beter en makkelijker te kunnen bekijken.
Het gaat om een SOAP-webservice die het met kleine
hoeveelheden aanroepen gewoon deed, maar na wat grotere
hoeveelheden snel achter elkaar (~100) dienst begon te weigeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.