Per pentesting / VA, è, ovviamente, imperativo essere sempre in grado di vedere il sito HTTP di un target. Se presente, l'HSTS è in conflitto con questa esigenza.
Senza utilizzare un proxy per risolvere il problema (ad es. Burp), è possibile disabilitare in modo nativo HSTS in Firefox?
Secondo diversi forum, è possibile disabilitare l'HST introducendo una nuova variabile di configurazione. Per prima cosa, vai alla pagina di configurazione di Firefox (about: config), fai clic con il tasto destro, scegli "Nuovo numero intero", quindi fornisci il nome "test.currentTimeOffsetSeconds" (senza virgolette) con un valore di 11491200. Questo dovrebbe bypassare l'HSTS, anche se potrebbe anche essere necessario cancellare la cache e gli accessi attivi nella finestra di dialogo Cancella cronologia recente (Ctrl-Shift-Canc).
Questo apparentemente funziona a causa di una funzione chiamata GetPreloadListEntry che controlla se l'ora corrente è inferiore al prossimo tempo di scadenza dell'elenco; poiché il tempo viene effettivamente calcolato per essere dopo rispetto al tempo di scadenza, non viene eseguito alcun controllo. Ciò disattiva efficacemente i controlli HSTS.
SiteSecurityServiceState.txt e aprilo github.com:HSTS 120 17242 1521194647604,1,1
Firefox memorizza le voci HSTS in questo file con i relativi periodi di scadenza. Rimozione di questa voce dovrebbe consentire di premere url http. Per prevenirlo ulteriormente, puoi probabilmente cambiare il permesso di questo file in sola lettura.
Ulteriori dettagli - Comprensione della sicurezza del trasporto rigorosa HTTP (HSTS)
NOTA: questo non funzionerà con siti ben noti come Google, in quanto tali elenchi sono precaricati dai browser. Funziona bene per gli altri. Vedi il link sopra per i dettagli.
Sono stato in grado di disattivarlo impostando network.stricttransportsecurity.preloadlist su false in about: config
Se il tuo scenario è che hai impostato per errore HSTS su un sito su cui stai lavorando e hai bisogno di cancellarlo, "Dimentica questo sito" fa il trucco.