He estado usando sslstrip por un tiempo y funciona bien en sitios web en los que HSTS no está habilitado. Sin embargo, cuando el servidor SSL se está ejecutando en algunos puertos personalizados, sslstrip falla.
p.ej.: Para enlaces como enlace , la división no parece funcionar incluso aunque el sitio no implementa HSTS. ¿Cómo solucionar este problema?
Supongo que sslstrip rompe el puente entre http y https. Uno de los casos en que la herramienta funciona es el caso de redirección. La herramienta verifica el encabezado 'Ubicación' y le quita el HTTPS. A continuación, incrusta la URL HTTP para el cliente, de modo que el navegador no debe utilizar el protocolo de enlace SSL. En resumen, el SSLStrip intercepta el tráfico antes de que se negocie para asegurar el túnel. La URL que mencionó es la URL de https es una URL de https directa en la que no se producirá la transición de http- > https. Por lo tanto, la herramienta [sslstrip] no le dará el resultado esperado aunque HSTS no esté habilitado. Espero que esto sea útil.
Lea otras preguntas en las etiquetas man-in-the-middle sslstrip