Друзья,
Есть ли способ предотвратить обход HSTS в среде Apache / RHEL. У меня есть веб-сервер с действующим сертификатом SSL для домена. Запросы, отличные от HTTPS, перенаправляются на HTTPS. Необходимые заголовки, включая Content Security Policy, Strict Transport Security, X-Frame, уже применены.
Любые идеи?
Добавление ссылки в качестве примера показывает, как достичь обхода HSTS.
заранее спасибо
Разместите здесь свой домен https://hstspreload.org/
Это останавливает большинство современных браузеров даже пытаясь для подключения через http.
используйте sslstrip для проверки, его довольно легко настроить с помощью firefox
sslstrip.py -l <listenPort>
затем настройте firefox для проксирования всего на этот порт
Вы должны увидеть атаку в действии.
Да, в самом деле.
Ничего не обслуживайте в http, но перенаправляет на https.