SSLStrip2およびHSTS
SSLstrip2を使用してWebサイトでHSTSをバイパスすることについて質問があります。
SSLStrip2を(DNS2Proxyと組み合わせて)インストールして展開することに成功しました。つまり、ブラウザを使用してWebサイトにアクセスすると、WebサイトはHTTP経由で通信します。
ただし、WebサイトがHTTPSを使用して既に一度アクセスされた場合、このヘッダーは維持され、ブラウザーは常にHTTPS(HSTSヘッダー)を使用します。この結果、Webページがロード時にスタックします。
質問
以前に決してアクセスしたことのないWebサイトにHTTPを強制することは可能ですが、ユーザーがWebサイトにアクセスした場合でもユーザーをHTTPSバージョンにリダイレクトします以前はなので、ページは何に関係なくロードされます
助けていただければ幸いです。このトピックに関するインターネット上のフォーラムはそれほど多くないので、私はStackExchangeの知識に再び依存しています。
はい、それは確かに可能です
これまでにアクセスしたことのないWebサイトにHTTPを強制することは可能ですが、ユーザーが以前にWebサイトにアクセスしたことがある場合でも、ユーザーをHTTPSバージョンにリダイレクトすることはできます。
現在それが起こっていない場合、おそらく何らかの理由でhttpsリクエストの転送を拒否するのはおそらくツールです。 Man in the Middle Framework の使用をお勧めします。
フレームワークは自動的にSSLストリップを適用し、httpsリクエストは通常どおり転送されるため、SSLストリップを適用できない場合、ページは通常どおり読み込まれます。 ARP/DNSスプーフィングも行います。
補足として:HSTSプリロード
ユーザーが以前にWebサイトにアクセスしたことがなくても、SSLストリップをWebサイトに適用できない場合があることを付け加えておきます。これは HSTSプリロード が原因です。基本的に、ブラウザーをインストールすると、ブラウザーがhttps経由でのみ接続するWebサイトのリストもインストールされます。いくつかの例は、facebook.comやgoogle.comです。