SSLStrip2 e HSTS

Naviga le tue risposte
4

Ho una domanda riguardante l'utilizzo di SSLstrip2 per aggirare l'HST sui siti web.

Sono riuscito a installare e distribuire correttamente SSLStrip2 (in combinazione con DNS2Proxy). Ciò significa che quando si utilizza un browser e si visita un sito Web, il sito Web comunicherà via HTTP.

Tuttavia, quando un sito Web è già stato visitato una volta utilizzando HTTPS, questa intestazione viene mantenuta e il browser utilizzerà sempre HTTPS (intestazione HSTS). Il risultato è che la pagina web è bloccata durante il caricamento.

Domanda
È possibile forzare HTTP sui siti web che erano mai visitati prima, ma reindirizzano ancora gli utenti alla versione HTTPS se hanno visitato il sito web una volta in precedenza, quindi la pagina verrà caricata indipendentemente da cosa.

Qualsiasi aiuto sarebbe molto apprezzato, non ci sono molti forum su internet riguardo questo argomento quindi mi affido nuovamente alla conoscenza di StackExchange.

    
posta Toine-L 28.09.2017 - 23:13
fonte

1 risposta

1

Sì, è certamente possibile

Is it possible to force HTTP on websites which were never visited before, but still redirect users to the HTTPS version if they visited the website once before, so the page will load no matter what.

Non c'è nulla che ti impedisca di farlo, se non sta accadendo attualmente probabilmente sono gli strumenti che rifiutano di inoltrare la richiesta https per qualche motivo. Ti consiglio di utilizzare il Man in the Middle Framework .

Il framework applica automaticamente la striscia SSL e le richieste https vengono inoltrate normalmente, quindi se non puoi applicare la striscia SSL la pagina viene caricata normalmente. Persino lo spoofing ARP / DNS per te.

Come sidenote: precarico HSTS

Vorrei aggiungere che in alcuni casi non è possibile applicare la striscia SSL ai siti Web anche se l'utente non li ha mai visitati prima. Ciò è dovuto al precarico HSTS . Fondamentalmente, quando installi il browser, verrà installato anche un elenco di siti Web che il tuo browser contatterà solo tramite https. Alcuni esempi sarebbero facebook.com e google.com

    
risposta data 29.09.2017 - 00:05
fonte

Leggi altre domande sui tag

Modo di categorizzazione e organizzazione dei tipi di problemi e aree di sicurezza Come faccio a verificare correttamente la presenza di una password sicura? [duplicare]