Esiste un modo per forzare la navigazione HTTP se tutto il traffico viene reindirizzato su HTTPS? [chiuso]

0

Il server web è configurato per reindirizzare tutto il traffico delle richieste HTTP su HTTPS. E sembra che ci siano diverse applicazioni in esecuzione su 80 e 443.

443 non è vulnerabile ma esiste molta vulnerabilità su 80. Quando provo a navigare nel link tramite browser, mi reindirizza al link .

Ora quando uso nikto per scansionare il sito alla porta 80 elenca un sacco di link vulnerabili. Si prega di suggerire.

    
posta LionKing 25.05.2017 - 12:14
fonte

2 risposte

1

Un reindirizzamento (a https o altrove) è un codice di ritorno "302" dal server

link

che il tuo browser onora, quindi richiede nuovamente la pagina reindirizzata.

Se "nikto [... analizza ...] il sito alla porta 80 [e] elenca molti collegamenti vulnerabili"

quindi il server sta ancora restituendo una pagina. Dovresti utilizzare un client web modificato che non segue il reindirizzamento "302", il modo in cui nikto apparentemente non lo è.

Questo sembra ancora strano, dato che la maggior parte dei servizi web che inviano un reindirizzamento non invia anche la pagina originale / vecchia. Puoi essere sicuro che nikto non ti sta solo mostrando il contenuto della pagina dopo aver seguito in silenzio il reindirizzamento al sito https.

Infine, il software che esegue la porta 80 e 443 potrebbe essere lo stesso. Un singolo server web può gestire entrambe le connessioni http e https e fornire le stesse pagine o le stesse pagine in risposta

    
risposta data 25.05.2017 - 19:23
fonte
0

Penso che il sito possa avere HSTS abilitato, nel qual caso il tuo browser non esegue nemmeno la richiesta HTTP. Puoi rimuovere la flag HSTS dal sito nel tuo browser, ma otterrà imposta nuovamente quando visiti il sito HTTPS.

    
risposta data 25.05.2017 - 15:23
fonte