前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >绕过HSTS继续抓包

绕过HSTS继续抓包

作者头像
Bypass
发布2020-05-28 22:39:51
3.3K0
发布2020-05-28 22:39:51
举报
文章被收录于专栏:Bypass

在网站渗透过程中,我们往往需要对HTTP协议抓包分析,然后对每一个参数进行观察和测试。

HSTS,即HTTP严格传输安全协议,它是一个互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

问题描述:

以CSDN抓包分析为例,使用Burpsuite作为代理,HSTS抓包失败:

解决方法:

1、在浏览器地址栏中输入下述地址:http://burp,点击 CA Certificate 下载证书。

2、要在浏览器中导入证书,在设置 --> 管理证书选项 --->受信人的根证书颁发机构【一定要选这个根证书,其他位置导入无效】-->导入证书。

导入成功后,可以看到PortSwigger CA的证书。

3、再次访问CSDN,成功捕获数据包。


网络中有很多绕过HSTS抓包的方法,在我第一次遇到HSTS的时候,也曾经尝试过很多种方法,但都无法帮助我成功解决这个问题。使用Burpsuite证书导入,我在Chrome和Firefox都已成功验证过,也解决了多个网站在渗透过程中,遇到HSTS无法抓包的问题。

如果你知道其他更好的技巧,欢迎留言探讨~~

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-05-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档