Sto tentando di utilizzare SSLStrip su un sito Web con HSTS disattivato, in particolare digito l'URL del sito web con http:// e si rifiuta di caricare Safari, Chrome e un browser cinese casuale a causa di troppi reindirizzamenti.
Ho provato questo con due vittime: Safari su un iPhone con iOS 11.1 e su un telefono Android con Nougat. In entrambi i casi, non riesco ad accedere al sito web. Ho controllato che l'installazione funzioni perché sono in grado di vedere le richieste POST crittografate nel mio file sslstrip.log .
Ecco le richieste e le risposte da http://my.mit.edu per esempio:
Richiesta:
Host: my.mit.edu
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:58.0) Gecko/20100101 Firefox/58.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Risposta:
Transfer-Encoding: chunked
Connection: Keep-Alive
Location: http://my.mit.edu
Server: BigIP
Sono state eseguite 20 richieste e risposte identiche.
Questo richiede a firefox di dare questo errore:
Firefox has detected that the server is redirecting the request for this address in a way that will never complete.
Penso sia anche importante sottolineare che sto affrontando questo solo su questo dominio e sslstrip sta effettivamente funzionando bene sul mio sito web personale .