This attack utilizes a REST(REpresentational State Transfer)-style applications' trust in the system resources and environment to obtain sensitive data once SSL is terminated.
Description
Attack Execution Flow
3
1
Step 1
Explore[Find a REST-style application that uses SSL] The adversary must first find a REST-style application that uses SSL to target. Because this attack is easier to carry out from inside of a server network, it is likely that an adversary could have inside knowledge of how services operate.
AI Translation
[Trova un'applicazione in stile REST che utilizza SSL] L'avversario deve prima individuare un'applicazione in stile REST che utilizza SSL come obiettivo. Poiché questo attacco è più facile da eseguire dall'interno di una rete server, è probabile che un avversario possa avere conoscenze interne su come funzionano i servizi.
2
Step 2
Experiment[Insert a listener to sniff client-server communication] The adversary inserts a listener that must exist beyond the point where SSL is terminated. This can be placed on the client side if it is believed that sensitive information is being sent to the client as a response, although most often the listener will be placed on the server side to listen for client authentication information.
Run wireshark or tcpdump on a device that is on the inside of a firewall, load balancer, or router of a network and capture traffic after SSL has been terminated
AI Translation
[Inserisci un listener per sniffare la comunicazione client-server] L’avversario inserisce un listener che deve esistere oltre il punto in cui SSL viene terminato. Questo può essere posizionato sul lato client se si ritiene che informazioni sensibili vengano inviate al client come risposta, anche se nella maggior parte dei casi il listener verrà posizionato sul lato server per ascoltare le informazioni di autenticazione del client.
Esegui wireshark o tcpdump su un dispositivo che si trovi all’interno di un firewall, load balancer o router di una rete e cattura il traffico dopo che SSL è stato terminato.
Attack Techniques
-
Run wireshark or tcpdump on a device that is on the inside of a firewall, load balancer, or router of a network and capture traffic after SSL has been terminated
3
Step 3
Exploit[Gather information passed in the clear] If developers have not hashed or encrypted data sent in the sniffed request, the adversary will be able to read this data in the clear. Most commonly, they will now have a username or password that they can use to submit requests to the web service just as an authorized user
AI Translation
[Raccolta di informazioni trasmesse in chiaro] Se gli sviluppatori non hanno hashato o criptato i dati inviati nella richiesta intercettata, l'avversario sarà in grado di leggere questi dati in chiaro. Nella maggior parte dei casi, ora avranno un nome utente o una password che possono utilizzare per inviare richieste al servizio web come un utente autorizzato
Mitigations
3
Design: Enforce Principle Of Least Privilege
Design: Utilize Defense In Depth, Do Not Rely On A Single Security Mechanism Like Ssl
Implementation: Implement Message Level Security Such As Hmac In The Http Communication
Consequences
Security Scopes Affected
Access Control
Authorization
Confidentiality
Potential Impacts
Gain Privileges
Relationships
Parent CAPECs
Related ATT&CK Techniques
1
T1040
Network Sniffing
Adversaries may passively sniff network traffic to capture information about an environment, including authentication material passed over the network. Network …