¿Cómo se las arreglan los DNS falsos para bajar la calificación de los HSTS precargados?

Question

¿Cómo se las arreglan los DNS falsos para bajar la calificación de los HSTS precargados?

#1 de Arminius (4 votos)

1

Ayer, en un intento por entretenerme por un tiempo, estaba jugando con servidores DNS. Configuré un servidor DNS localmente, que luego configuré como mi servidor DNS primario. Dentro de él, agregué algunos registros que anularon lo que de otro modo serían dominios existentes: señalé Google, Facebook, Twitter, etc., a 127.0.0.1 ( google.com. 60 IN A 127.0.0.1 ), donde tenía un servidor web en funcionamiento.

Para mi sorpresa, funcionó . La visita a http://google.com devolvió la página web según lo publicado por mi servidor web local.

La cosa es ... se supone que google.com tiene HSTS precargados en ella. Tenía la impresión de que mi navegador debería saber que google.com está destinado a ser enviado solo a través de HTTPS, y por lo tanto, el acceso a la versión HTTP y la obtención de una página local no deberían funcionar.

¿En qué se equivocan mis supuestos?

dns spoofing hsts

pregunta ArtOfCode 07.06.2018 - 22:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas dns spoofing hsts

¿Cerrar puerto 587 - Ramificaciones? ¿Ejecutar un script php cargado en un servidor vulnerable si sé su ubicación? [cerrado]

score 4 · Answer 1

Los dominios google.com y www.google.com no están precargados por HSTS. Puede verificar que aquí . Ni siquiera inicialmente envían un encabezado HSTS.

Otros subdominios de Google están precargados, por ejemplo, accounts.google.com .

Su suposición es correcta para un dominio precargado, no debería ser posible acceder al sitio a través de HTTP simple en su navegador, independientemente de dónde apunte el DNS. Simplemente has marcado el dominio incorrecto.