SSLStrip2 y HSTS

4

Tengo una pregunta relacionada con el uso de SSLstrip2 para omitir HSTS en sitios web.

Logré instalar e implementar SSLStrip2 con éxito (en combinación con DNS2Proxy). Esto significa que al usar un navegador y visitar un sitio web, el sitio web se comunicará a través de HTTP.

Sin embargo, cuando un sitio web ya fue visitado una vez utilizando HTTPS, este encabezado se mantiene y el navegador siempre usará HTTPS (encabezado HSTS). El resultado de esto es que la página web está atascada en la carga.

Pregunta
¿Es posible forzar HTTP en los sitios web que fueron nunca visitados antes, pero aún así redirigir a los usuarios a la versión HTTPS si ya visitaron el sitio web una vez, para que la página se cargue sin importar qué?

Cualquier ayuda se agradecería mucho, no hay muchos foros en Internet sobre este tema, por lo que confío en el conocimiento de StackExchange nuevamente.

    
pregunta Toine-L 28.09.2017 - 23:13
fuente

1 respuesta

1

Sí, es ciertamente posible

  

¿Es posible forzar HTTP en sitios web que nunca fueron visitados antes, pero aún así redirigir a los usuarios a la versión HTTPS si ya visitaron el sitio web una vez, así que la página se cargará sin importar qué?

No hay nada que le impida hacer eso, si no está sucediendo actualmente, probablemente sean sus herramientas las que se nieguen a reenviar la solicitud https por algún motivo. Recomendaría utilizar el Man in the Middle Framework .

El marco aplica automáticamente la tira SSL y las solicitudes https se envían normalmente, por lo que si no puede aplicar la tira SSL, la página se carga normalmente. Incluso hace la falsificación de ARP / DNS por usted.

Como una nota al margen: HSTS precarga

Me gustaría agregar que, en algunos casos, no puede aplicar la tira SSL a los sitios web, incluso si el usuario nunca los ha visitado. Esto se debe a precarga de HSTS . Básicamente, cuando instale su navegador, también instalará una lista de sitios web que su navegador solo contactará a través de https. Algunos ejemplos serían facebook.com y google.com

    
respondido por el Snappie 29.09.2017 - 00:05
fuente

Lea otras preguntas en las etiquetas