Di recente ho verificato un sito Web con tre host: il sito principale ( example.com ) e due sottodomini (chiamiamoli portal.example.com e < em> welcome.example.com ).
Secondo le intestazioni di risposta, l'HSTS è impostata correttamente per ciascun host:
strict-transport-security: max-age=2592000; includeSubDomains
Durante il caricamento degli host in Burp, non sono stato in grado di creare un'eccezione di sicurezza in Firefox per accettare il cert SSL autofirmato di Burp sul traffico HTTPS proxy (come previsto). Entrambi i sottodomini, tuttavia, consentono di creare un'eccezione di sicurezza in Firefox senza problemi. Inoltre, questo mi ha permesso di aggirare l'HSTS sul sito principale, dal momento che una volta era stata creata un'eccezione di sicurezza per uno dei sottodomini, ero in grado di proxy del traffico HTTPS per esempio.com senza problemi.
Cosa mi manca? Pensavo che l'HSTS avrebbe vietato questa attività, specialmente se è impostata su includeSubDomains
.