SSLStripがカスタムポートで機能しない
私はしばらくの間sslstripを使用していますが、HSTSが有効になっていないWebサイトでは正常に機能します。ただし、SSLサーバーが一部のカスタムポートで実行されている場合、sslstripは失敗します。
例: https://example.com:4 のようなリンクの場合、サイトにHSTSが実装されていなくても、ストライピングが機能しないようです。この問題を回避する方法は?
Sslstripがhttpとhttpsの間の橋を壊していると思います。ツールが機能するケースの1つは、リダイレクトのケースです。ツールは「Location」ヘッダーをチェックし、HTTPSを削除します。次に、ブラウザがSSLハンドシェイクを実行しないように、クライアントのHTTPURLを埋め込みます。つまり、SSLStripは、トンネルを保護するためにネゴシエートされる前にトラフィックをインターセプトします。あなたが言及したURLはhttpsURLであり、http-> https遷移が発生しない直接のhttpsURLです。したがって、HSTSが有効になっていない場合でも、ツール[sslstrip]は期待される出力を提供しません。これがお役に立てば幸いです。