Chromeはsslstripを回避しますか?
私のペンテスターラボでMoxieのsslstripツールを試しています。私のすべてのVMで動作しますが、すべてのブラウザーでは動作しません。 FirefoxとIEは脆弱ですが、Chromeは保護されているようです。
だれでもChromeがそのツールを防御する方法を知っていますか?
Google Chromeブラウザはプリロードを使用 [〜#〜] hsts [〜#〜] リスト。Firefox17(最新リリース)もリストのサポートを追加しました。 Google Chromeが使用するのと同じリスト。HSTSは、HTTPSのみのWebサイトを持つことで、このような攻撃に対する最善の緩和策です。HTTPWebサイトは、HTTPSに永続的にリダイレクトするだけで、コンテンツを提供しないでください。