Вопросы Теги

Смягчение обхода HSTS

Друзья,

Есть ли способ предотвратить обход HSTS в среде Apache / RHEL. У меня есть веб-сервер с действующим сертификатом SSL для домена. Запросы, отличные от HTTPS, перенаправляются на HTTPS. Необходимые заголовки, включая Content Security Policy, Strict Transport Security, X-Frame, уже применены.

Есть идеи?

Добавление примера ссылки показывает, как добиться обхода HSTS

https://null-byte.wonderhowto.com/how-to/defeating-hsts-and-bypassing-https-with- dns-server-changes-and-mitmf-0162322 /

Заранее спасибо

0
задан 20 January 2018 в 20:10
2 ответа

Отправьте свой домен сюда. https://hstspreload.org/

Это останавливает большинство современных браузеров, даже пытаясь подключиться через http.

используйте sslstrip для проверки, его довольно легко настроить с помощью firefox

sslstrip.py -l

затем настройте firefox на проксирование всего на этот порт

Вы должны увидеть атаку в действии затем

.
2
ответ дан 4 December 2019 в 13:27

Да, конечно.

Ничего не обслуживайте в http, а перенаправляет на https.

0
ответ дан 4 December 2019 в 13:27

Теги

Похожие вопросы