Estoy intentando usar SSLStrip en un sitio web que tiene HSTS deshabilitado, especifico específicamente la URL del sitio con http://
y se niega a cargar en Safari, Chrome y un navegador chino aleatorio debido a demasiados redireccionamientos.
He intentado esto con dos víctimas: Safari en un iPhone con iOS 11.1 y en un teléfono Android con Nougat. En ambos casos, no puedo acceder al sitio web. He comprobado que la configuración funciona, ya que puedo ver solicitudes POST cifradas en mi archivo sslstrip.log
.
Aquí están las solicitudes y respuestas de http://my.mit.edu
, por ejemplo:
Solicitud:
Host: my.mit.edu
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:58.0) Gecko/20100101 Firefox/58.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Respuesta:
Transfer-Encoding: chunked
Connection: Keep-Alive
Location: http://my.mit.edu
Server: BigIP
Se realizan 20 solicitudes y respuestas idénticas.
Esto le pide a firefox que dé este error:
Firefox has detected that the server is redirecting the request for this address in a way that will never complete.
Creo que también es importante señalar que me enfrento a esto solo en este dominio y sslstrip en realidad funciona bien en mi sitio web personal .