Назад | Перейти на главную страницу

Смягчение обхода HSTS

Друзья,

Есть ли способ предотвратить обход HSTS в среде Apache / RHEL. У меня есть веб-сервер с действующим сертификатом SSL для домена. Запросы, отличные от HTTPS, перенаправляются на HTTPS. Необходимые заголовки, включая Content Security Policy, Strict Transport Security, X-Frame, уже применены.

Любые идеи?

Добавление ссылки в качестве примера показывает, как достичь обхода HSTS.

https://null-byte.wonderhowto.com/how-to/defeating-hsts-and-bypassing-https-with-dns-server-changes-and-mitmf-0162322/

заранее спасибо

Разместите здесь свой домен https://hstspreload.org/

Это останавливает большинство современных браузеров даже пытаясь для подключения через http.

используйте sslstrip для проверки, его довольно легко настроить с помощью firefox

sslstrip.py -l <listenPort>

затем настройте firefox для проксирования всего на этот порт

Вы должны увидеть атаку в действии.

Да, в самом деле.

Ничего не обслуживайте в http, но перенаправляет на https.