web-dev-qa-db-ja.com

FirefoxでHSTSを無効にできますか?

もちろん、pentesting/VAの場合、ターゲットのHTTPサイトを常に確認できることが不可欠です。存在する場合、HSTSはこのニーズと競合します。

プロキシを使用して問題に対処することなく(Burpなど)、FirefoxでHSTSをネイティブで無効にすることはできますか?

46
Cheekysoft
  1. About:firefoxのサポートと入力します
  2. プロファイルフォルダーを開くはずのフォルダーで表示をクリックします。
  3. SiteSecurityServiceState.txtというファイルを見つけて開きます
  4. サイトのURLのエントリを見つけて削除します。エントリは次のようになります-github.com:HSTS 120 17242 1521194647604,1,1
  5. 上記のFirefoxが上書きされないように閉じていることを確認してください。

Firefoxは、HSTSエントリを有効期限とともにこのファイルに保存します。このエントリを削除すると、httpのURLにアクセスできるようになります。これをさらに防ぐには、このファイルのアクセス権を読み取り専用に変更します。

詳細- HTTP Strict Transport Security(HSTS)について

注:これらのリストはブラウザによってプリロードされているため、これはgoogleなどの有名なサイトでは機能しません。他の人のためにうまく働きます。詳細については、上記のリンクを参照してください。

23
Aniket Thakur

いくつかのフォーラムによると、新しい構成変数を導入することでHSTSを無効にできます。最初に、Firefoxの設定ページ(about:config)に移動し、右クリックして[新しい整数]を選択します。次に、名前「test.currentTimeOffsetSeconds」(引用符なし)に11491200の値を指定します。これによりHSTSはバイパスされますが、また、[最近の履歴をクリア]ダイアログ(Ctrl-Shift-Del)でキャッシュとアクティブログインをクリアする必要がある場合もあります。

これは明らかに、現在の時間が次のリストの有効期限よりも短いかどうかを確認するGetPreloadListEntryと呼ばれる関数のために機能します。時間は有効期限後でと計算され、有効期限よりも長いため、チェックは実行されません。これにより、HSTSチェックが事実上無効になります。

23
phyrfox

About:configでnetwork.stricttransportsecurity.preloadlistfalseに設定することで無効にできました

9
Tobia

作業中のサイトに誤ってHSTSを設定していて、それをクリアする必要があるというシナリオの場合、「このサイトを忘れる」でうまくいきます。

1
RomanSt