PrepBro
← Назад к вопросам

Что такое MITM атака?

2.2 Middle🔥 111 комментариев
#Soft skills и карьера

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Что такое MITM-атака?

MITM-атака (Man-in-the-Middle, "человек посередине") — это тип кибератаки, при котором злоумышленник тайно перехватывает, а иногда и модифицирует передачу данных между двумя сторонами (например, между пользователем и веб-сервером), которые считают, что общаются напрямую друг с другом. Атакующий становится невидимым посредником в канале связи, получая полный доступ к передаваемой информации: логинам, паролям, финансовым данным, личным сообщениям.

Как работает MITM-атака: базовый принцип

Упрощённо процесс можно представить так:

  1. Перехват трафика: Злоумышленник размещает себя между жертвой (клиентом) и целевым ресурсом (сервером).
  2. Имитация сторон: Для жертвы атакующий притворяется сервером, а для сервера — легитимным клиентом.
  3. Прозрачное ретранслирование: Данные передаются через систему атакующего, который может их читать и изменять, прежде чем отправить конечному получателю.

Основные техники реализации MITM

  • ARP-спуфинг (ARP poisoning): Атакующий рассылает в локальной сети фальшивые ARP-сообщения, чтобы связать свой MAC-адрес с IP-адресом легитимного шлюза (роутера). Всё устройство жертвы начинает отправлять интернет-трафик через компьютер злоумышленника.
  • DNS-спуфинг: Злоумышленник изменяет записи в DNS-кэше или подделывает ответ DNS-сервера, в результате чего доменное имя (например, bank.com) разрешается не в настоящий IP-адрес сервера, а в IP-адрес, контролируемый атакующим.
  • Подделка Wi-Fi точек доступа: Создание легитимо выглядящей открытой или публичной Wi-Fi сети (например, "Free_Airport_WiFi"). Весь трафик пользователей, подключившихся к ней, проходит через устройство атакующего.
  • SSL/TLS Stripping (понижение безопасности): Атакующий перехватывает попытку соединения по защищённому протоколу HTTPS и "переводит" её на незащищённый HTTP для общения с жертвой, продолжая при этом использовать HTTPS для связи с настоящим сервером. Это позволяет читать данные, которые жертва считает защищёнными.

Пример кода: демонстрация уязвимости (без шифрования)

Представьте простое HTTP-соединение, где данные передаются в открытом виде:

# Упрощённый пример клиента, отправляющего логин и пароль (НЕБЕЗОПАСНО)
import socket

def send_credentials_unsafe(host, port, username, password):
    client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    client_socket.connect((host, port))
    # Данные передаются как открытый текст
    message = f"LOGIN:{username}:{password}"
    client_socket.send(message.encode())
    client_socket.close()

# При MITM-атаке злоумышленник, перехвативший пакет, легко извлекает учётные данные:
def mitm_intercept(packet_data):
    decoded_data = packet_data.decode()
    if decoded_data.startswith("LOGIN:"):
        _, intercepted_user, intercepted_pass = decoded_data.split(":")
        print(f"[MITM] Перехвачено: User={intercepted_user}, Pass={intercepted_pass}")
        # Далее атакующий может подменить ответ или просто передать данные дальше

Роль QA-инженера в предотвращении MITM

Инженер по обеспечению качества должен понимать риски MITM и проверять, что приложение им противостоит. Ключевые направления тестирования:

  • Валидация использования HTTPS: Проверка, что все критические операции (аутентификация, платёжные транзакции, передача персональных данных) используют защищённое соединение HTTPS/TLS.
    *   Проверка, что HTTP-запросы автоматически перенаправляются на HTTPS.
    *   Проверка корректности SSL-сертификатов (нет просроченных, самоподписанных для продакшена, несоответствия домена).
  • Тестирование безопасности каналов связи:
    *   Проверка реализации **сертификатной привязки (Certificate Pinning)** в мобильных приложениях, что усложняет проведение атаки даже при наличии корневого сертификата злоумышленника на устройстве.
    *   Анализ сетевого трафика с помощью прокси (например, **Burp Suite**, **OWASP ZAP**) для убеждения, что чувствительные данные не передаются в открытом виде и не могут быть легко подменены.
  • Проверка механизмов аутентичности данных: Убедиться, что приложение проверяет цифровые подписи важных сообщений или транзакций, что делает их подделку при перехвате практически невозможной.
  • Тестирование в контролируемых "враждебных" сетях: Запуск сценариев использования приложения через специально настроенную сеть, где включены инструменты для спуфинга (например, ettercap, mitmproxy), чтобы проверить устойчивость.

Ключевые меры защиты для разработки

  • Строгое использование HTTPS (TLS 1.2/1.3) на всём протяжении сессии.
  • HTTP Strict Transport Security (HSTS) — заголовок, приказывающий браузеру подключаться только по HTTPS.
  • Certificate Pinning для мобильных и высокозащищённых нативных приложений.
  • Валидация и проверка сертификатов на стороне клиента.
  • Шифрование end-to-end (E2E) для особо конфиденциальных данных, когда они расшифровываются только на конечных устройствах.
  • Защита от переиспользования сессий и использование безопасных, случайно сгенерированных токенов.

Понимание MITM-атак является критически важным для QA-инженера, работающего в сфере безопасности или с приложениями, обрабатывающими конфиденциальные данные. Это позволяет не только выполнять целенаправленное тестирование на уязвимости, но и формулировать осознанные требования к безопасности на ранних этапах разработки, способствуя созданию более устойчивых продуктов.