Друзья,
Есть ли способ предотвратить обход HSTS в среде Apache / RHEL. У меня есть веб-сервер с действующим сертификатом SSL для домена. Запросы, отличные от HTTPS, перенаправляются на HTTPS. Необходимые заголовки, включая Content Security Policy, Strict Transport Security, X-Frame, уже применены.
Есть идеи?
Добавление примера ссылки показывает, как добиться обхода HSTS
Заранее спасибо
Отправьте свой домен сюда. https://hstspreload.org/
Это останавливает большинство современных браузеров, даже пытаясь подключиться через http.
используйте sslstrip для проверки, его довольно легко настроить с помощью firefox
sslstrip.py -l
затем настройте firefox на проксирование всего на этот порт
Вы должны увидеть атаку в действии затем
.