【OSS】侵入テストツール「Modlishka」---倫理的フィッシングハッキングにより深刻な脅威に対抗

「Modlishka」とは

Modlishkaは強力で柔軟なHTTPリバースプロキシ。

ブラウザベースのHTTPトラフィックフローを処理するまったく新しいアプローチを実装しており、TLSと非TLSの両方のマルチドメイン宛先トラフィックを単一ドメインで透過的にプロキシできる。

→github.com　→drk1wi/Modlishka

倫理的ハッキング

このオープンソースツールは「倫理的ハッキング」を目的として開発されている。

侵入テスト担当者がフィッシングキャンペーンを実施し、フィッシングから深刻な脅威が発生する可能性の発見をサポートできる。

また「最新のフィッシング技術と戦略に関するコミュニティの認識を高める」ことも目的としている。

ユースケース

Modlishkaは追加の証明書をインストールする必要がないため、多くのユースケースシナリオで活用できる。

倫理的フィッシング侵入テスト

ユニバーサル2FA「バイパス」サポートを備えた透過的で自動化されたリバースプロキシコンポーネントを使用して倫理的なフィッシング侵入テストをサポートする。

非TLS URLの恒久的ハイジャック

HTTP 301ブラウザキャッシュを自動的にポイズニングし、非TLS URLを恒久的にハイジャックする。

HTTPトラフィックの診断およびハイジャック

「クライアントドメインフッキング」攻撃の観点から、ブラウザベースのアプリケーションHTTPトラフィックを診断およびハイジャックする。

以上、下記URLからの要約
https://securityboulevard.com/2019/10/phishing-tool-analysis-modlishka/