朋友们,
有没有办法防止 Apache/RHEL 环境中的 HSTS 绕过。我有一个具有该域的有效 SSL 证书的 Web 服务器。非 HTTPS 请求被重定向到 HTTPS。已应用必要的标头,包括内容安全策略、严格传输安全、X-Frame。
有任何想法吗?
添加示例链接展示如何实现 HSTS 绕过
提前致谢
答案1
在此提交您的域名 https://hstspreload.org/
这使得大多数现代浏览器甚至试通过 http 连接。
使用 sslstrip 进行验证,使用 Firefox 设置起来相当容易
sslstrip.py -l <listenPort>
然后设置 Firefox 将所有内容代理到该端口
你应该看到攻击的实际行动
答案2
确实是的。
不在 http 中提供任何服务,而是重定向到 https。