Para pentesting / VA, es, por supuesto, imperativo poder ver siempre el sitio HTTP de un destino. Si está presente, HSTS entra en conflicto con esta necesidad.
Sin usar un proxy para solucionar el problema (por ejemplo, Burp), ¿es posible desactivar HSTS de forma nativa en Firefox?
Según varios foros, puede deshabilitar HSTS introduciendo una nueva variable de configuración. Primero, vaya a la página de configuración de Firefox (acerca de: config), haga clic con el botón derecho, elija "Nuevo entero", luego proporcione el nombre "test.currentTimeOffsetSeconds" (sin comillas) con un valor de 11491200. Esto debería omitir HSTS, aunque Es posible que también deba borrar la caché y los inicios de sesión activos en el cuadro de diálogo Borrar historial reciente (Ctrl-Shift-Del).
Esto aparentemente funciona debido a una función llamada GetPreloadListEntry que verifica si la hora actual es inferior a la próxima fecha de caducidad de la lista; ya que el tiempo se calcula de manera que sea más tarde que el tiempo de vencimiento, no se realiza ninguna verificación. Esto efectivamente deshabilita las verificaciones de HSTS.
SiteSecurityServiceState.txt y ábralo github.com:HSTS 120 17242 1521194647604,1,1
Firefox almacena las entradas HSTS en este archivo con sus períodos de vencimiento. La eliminación de esta entrada debería permitirle golpear la URL de http. Para prevenirlo aún más, probablemente pueda cambiar el permiso de este archivo a solo lectura.
Más detalles - Descripción de la seguridad del transporte estricto de HTTP (HSTS)
NOTA: Esto no funcionará para sitios conocidos como Google, ya que esas listas están precargadas por los navegadores. Funciona bien para los demás. Vea el enlace de arriba para más detalles.