击败SSL的新技巧——HSTS最初漏洞而创建的

日期: 栏目:文章分享 浏览:825 评论:0

HSTS 最初是针对 Moxie 在 2009 年(Black Hat 2009)上题为“在实践中击败 SSL 的新技巧”的演讲中提出的一个漏洞而创建的。HSTS 正在防御的特定漏洞是利用一个名为 .

本质上,此工具通过将安全的 HTTPS 连接转换回不安全的 HTTP 连接来工作。HSTS 通过告诉浏览器应该使用 HTTPS 连接来解决这个问题。HSTS 还有助于避免常用工具,例如窃取基于 .

不幸的是,某些 HSTS 设置可能会无意中导致浏览器错误。例如,如果您正在使用:

“隐私错误:您的连接不是私有的”(NET::)。

如果您尝试在另一个浏览器上访问同一个站点并且没有遇到同样的问题,那么您原来的浏览器上的 HSTS 设置的效果可能是个问题。在这种情况下,您需要清除它们。以下是如何在 和 上清除它们。

清除并忘记流行浏览器中的 HSTS 设置。

如果您的浏览器存储了域名的 HSTS 设置,并且您稍后尝试通过 HTTP 或断开的 HTTPS 连接(主机名不匹配、证书过期等)进行连接,您将收到错误消息。与其他 HTTPS 错误不同,与 HSTS 相关的错误不容忽视。这是因为浏览器已被明确指示不允许安全连接以外的任何内容。

登陆器配置器_第一登陆器配置器_配置burpsuit谷歌浏览器证书及HSTS问题处理

HSTS 设置包括一个“内容可以缓存多长时间”选项,它告诉浏览器缓存多长时间并在再次检查之前记住该设置。为了立即处理此错误,您需要在浏览器上删除此域的本地 HSTS 设置。下面将介绍具体的操作步骤。

这些设置需要在每个浏览器中清除。作为开发人员,如果您正在测试 HSTS 配置,您可能会遇到此错误。在 中,您可能会在 上收到此错误。如果您在最终用户的实际网站上部署 HSTS,那么根据您的受众规模,纠正他们当前存在的错误可能是可行的。每个用户都需要删除他们本地的 HSTS 设置,或者根据之前设置的“内容可以缓存多长时间”等待它们过期。

同样重要的是要注意配置burpsuit谷歌浏览器证书及HSTS问题处理,如果该站点仍在提供 HSTS 标头,则您的浏览器将在您再次访问该站点时存储它。因此,如果您不希望再次发生此错误,则必须先停止发送此标头。

并且两者都没有针对 HSTS 错误的唯一错误代码,但间隙错误页面将包含有关 HSTS 的信息。

删除 HSTS 设置

请注意,这些说明主要对正在测试 HSTS 并且现在需要删除设置的开发人员有用。对于您无法控制的网站,如果这些网站仍在提供 HSTS 标头,那么删除浏览器的本地 HSTS 设置将无济于事,因为您的浏览器将在每次访问/刷新后再次保存设置。

在其中,您可能会看到错误“NET::”。如果单击与 HSTS 相关的 () 选项。在 上,您可能会看到错误“网站无法提供安全连接”。

其中,gap 页面将显示:“本网站使用 HTTP 严格传输安全 (HSTS) 协议指定只能通过安全方式连接。因此,无法为该证书添加例外。”

如果您确定错误是由缓存的 HSTS 设置引起的,请按照以下说明解决错误:

如何删除 HSTS 设置:

导航到 ://net-/#hsts

这是用于管理浏览器本地 HSTS 设置的 UI。

首先,要确认域名的 HSTS 设置已记录,请在页面底部的“查找域名”部分输入主机名。单击查询。如果查询框返回 Found,并且设置在下面列出,则域名的 HSTS 设置将保存在您的浏览器中。

请注意,这是一个非常敏感的搜索。请仅输入主机名,例如或,不输入任何关联的协议或路径。

在删除域部分输入相同的主机名,然后单击

您的浏览器将不再强制该网站建立 HTTPS 连接!您可以通过刷新或导航到页面来测试它是否有效。

请注意,根据网站提供的 HSTS 设置,您可能需要指定适当的子域。例如配置burpsuit谷歌浏览器证书及HSTS问题处理,可能需要将 HSTS 设置与 区分,因此根据情况,您可能需要重复这些步骤。

如何删除 HSTS 设置:

我们将描述删除 HSTS 设置的两种不同方法。第一种方法在大多数情况下应该可以工作 - 但如果需要,我们还包括一个手动选项。

关闭所有打开的选项卡。使用键盘快捷键 Ctrl + Shift + H(Mac 上的 Cmd + Shift + H)打开完整的历史记录窗口。在以下步骤中,您必须使用此窗口或侧边栏。找到您要删除 HSTS 设置的网站 - 如果需要,您可以在右上角搜索该网站。右键单击项目列表中的站点,然后单击忘记此站点。这将清除此域的 HSTS 设置(和其他缓存数据)。重新启动并访问该站点。您现在应该能够通过 HTTP/损坏的 HTTPS 访问该站点。如果这些说明不起作用,那么您可以尝试以下手动方式:

手动方法

如果上述步骤不起作用,您可以尝试以下操作。

首先,通过操作系统的文件资源管理器找到您的配置文件。您可以通过导航到 about: 找到此文件夹。

向下滚动到页面中间,在 部分,您将看到 文件夹。单击以打开文件夹。

立即关闭,这样浏览器就不会覆盖我们将要修改的任何设置。

在您的配置文件夹中,找到并打开文件 tate.txt。此文件包含您之前访问的域的 HSTS 和 HPKP(密钥,一种独立的 HTTPS 机制)缓存设置。这些设置可能会有点混乱。

搜索要清除 HSTS 设置的域名并将其从文件中删除。每个条目都有一个域名。删除从所需域名到下一个列出的域名的所有条目。还有一种方法,您可以将现有文件从 .txt 重命名为 .bak(为了保存现有文件,以防万一 一) 并允许在下次启动时创建一个全新的文件.

下面是一个简单的 HSTS 列表的示例。

: 90,1,0

如前所述,此文件的格式可能会令人困惑。下面是我的配置示例。每个域名的设置都以独特的颜色显示,以便清晰区分。在这种情况下,之前域名的部分设置在开头以红色显示:

原文链接:

标签:

评论留言

我要留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。发布前请先查看评论规则:点我查看