È possibile disattivare HSTS in Firefox?

33

Per pentesting / VA, è, ovviamente, imperativo essere sempre in grado di vedere il sito HTTP di un target. Se presente, l'HSTS è in conflitto con questa esigenza.

Senza utilizzare un proxy per risolvere il problema (ad es. Burp), è possibile disabilitare in modo nativo HSTS in Firefox?

    
posta Cheekysoft 09.10.2015 - 13:41
fonte

4 risposte

20

Secondo diversi forum, è possibile disabilitare l'HST introducendo una nuova variabile di configurazione. Per prima cosa, vai alla pagina di configurazione di Firefox (about: config), fai clic con il tasto destro, scegli "Nuovo numero intero", quindi fornisci il nome "test.currentTimeOffsetSeconds" (senza virgolette) con un valore di 11491200. Questo dovrebbe bypassare l'HSTS, anche se potrebbe anche essere necessario cancellare la cache e gli accessi attivi nella finestra di dialogo Cancella cronologia recente (Ctrl-Shift-Canc).

Questo apparentemente funziona a causa di una funzione chiamata GetPreloadListEntry che controlla se l'ora corrente è inferiore al prossimo tempo di scadenza dell'elenco; poiché il tempo viene effettivamente calcolato per essere dopo rispetto al tempo di scadenza, non viene eseguito alcun controllo. Ciò disattiva efficacemente i controlli HSTS.

    
risposta data 09.10.2015 - 20:43
fonte
16
  1. Digitare about: support in firefox
  2. Fai clic su mostra nella cartella che dovrebbe aprire la cartella del tuo profilo.
  3. trova il file chiamato SiteSecurityServiceState.txt e aprilo
  4. Trova la voce per l'url del tuo sito e rimuovila. L'entrata sarà simile a qualcosa - github.com:HSTS 120 17242 1521194647604,1,1
  5. Assicurati che sopra firefox sia chiuso in modo che non lo sovrascriva.

Firefox memorizza le voci HSTS in questo file con i relativi periodi di scadenza. Rimozione di questa voce dovrebbe consentire di premere url http. Per prevenirlo ulteriormente, puoi probabilmente cambiare il permesso di questo file in sola lettura.

Ulteriori dettagli - Comprensione della sicurezza del trasporto rigorosa HTTP (HSTS)

NOTA: questo non funzionerà con siti ben noti come Google, in quanto tali elenchi sono precaricati dai browser. Funziona bene per gli altri. Vedi il link sopra per i dettagli.

    
risposta data 17.03.2017 - 13:54
fonte
2

Sono stato in grado di disattivarlo impostando network.stricttransportsecurity.preloadlist su false in about: config

    
risposta data 14.10.2018 - 06:24
fonte
1

Se il tuo scenario è che hai impostato per errore HSTS su un sito su cui stai lavorando e hai bisogno di cancellarlo, "Dimentica questo sito" fa il trucco.

    
risposta data 24.12.2018 - 12:56
fonte

Leggi altre domande sui tag