vezano uz projekt na kojemu radim s kolegom, napravio sam web shop i instalirao domain rapidssl certifikat. Kako sam ssl certifikat ne štiti stranicu od raznih napada, već samo omogućava zaštitu komunikacije od klijenta do servera, ispada da samo ovom vrstom napada ( man in the middle ) mogu testirat funkcionalnost certifikata?
Znači trebao bi demonstrirat i simulirat napad na svoj web shop tj. na https protokol i ukazat kako certifikat štiti, tj. da nije moguće „man in the middle“ napadom doći do upisanih podataka (username i password). To mi je palo na pamet na temelju nekih „starih“ video-primjera iz 2013. gdje se sslstrip-om uspjelo proći kroz https, pa pretpostavljam da su ti bugovi ispravljeni.
Znači u simulaciji bi se pokušao ulogirat na dvije stranice, prvo na svoj shop koji koristi https protokol i zatim na neku random http stranicu, i tada bi na terminalu trebalo izbacit samo podatke pokušaja logiranja na stranicu sa http protokolom.
Ako ovo nije jednostavno za napravit ili nije moguce, volio bi cuti Vaš savjet vezano uz simulaciju sigurnosti/nesigurnosti http i https protokola, link na neki turorijal kako izvest, s kojim alatom (VMware virtual machines, Ettercap) a da je izvedivo sa xp ili win7. nešto slično 0x4553-intercepter mozda
postoji li neki drugi način testiranja funkcionalnosti ssl certifikata simulacijom(video tutorijalom)?
lp