Estoy probando la herramienta sslstrip de Moxie en mi laboratorio de pentester. Funciona en todas mis máquinas virtuales, pero no en todos los navegadores. Firefox e IE son vulnerables, pero Chrome parece tener una protección contra.
¿Alguien sabe cómo se defiende Chrome contra esa herramienta?
El navegador Google Chrome utiliza la lista HSTS precargada. Firefox 17 (la versión más reciente) también agregó soporte para la lista. Es la misma lista que usa Google Chrome. HSTS, junto con tener un sitio web HTTPS único, son las mejores mitigaciones contra tal ataque. Su sitio web HTTP solo debe redirigirse permanentemente a HTTPS y no debe proporcionar ningún contenido.
Lea otras preguntas en las etiquetas penetration-test sslstrip chrome