专栏首页Bypass绕过HSTS继续抓包

绕过HSTS继续抓包

在网站渗透过程中,我们往往需要对HTTP协议抓包分析,然后对每一个参数进行观察和测试。

HSTS,即HTTP严格传输安全协议,它是一个互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

问题描述:

以CSDN抓包分析为例,使用Burpsuite作为代理,HSTS抓包失败:

解决方法:

1、在浏览器地址栏中输入下述地址:http://burp,点击 CA Certificate 下载证书。

2、要在浏览器中导入证书,在设置 --> 管理证书选项 --->受信人的根证书颁发机构【一定要选这个根证书,其他位置导入无效】-->导入证书。

导入成功后,可以看到PortSwigger CA的证书。

3、再次访问CSDN,成功捕获数据包。


网络中有很多绕过HSTS抓包的方法,在我第一次遇到HSTS的时候,也曾经尝试过很多种方法,但都无法帮助我成功解决这个问题。使用Burpsuite证书导入,我在Chrome和Firefox都已成功验证过,也解决了多个网站在渗透过程中,遇到HSTS无法抓包的问题。

如果你知道其他更好的技巧,欢迎留言探讨~~

本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 删库跑路的背后,是企业对数据安全的反思

    这几天,一直在关注微盟删库事件的进展,在3月1日晚上,微盟发布最新公告称数据已经全面找回。而此时,距离事故发生的2月23日晚,过了有足足七天七夜,也就是7*24...

    Bypass
  • 终端安全管理之殇:安全管控能力与用户体验

    在过去很长一段时间,信息安全就等于终端安全,这个领域受重视较早,有着比较完整和成熟的终端安全产品。

    Bypass
  • Window权限维持(五):屏幕保护程序

    屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。这是因为...

    Bypass
  • Aviatrix挑战思科、VMware的公共云网络服务

    公共云网络创业公司Aviatrix推出了一项托管服务来在三大云环境中构建和管理虚拟私有云(VPC)网络:亚马逊网络服务(AWS),Microsoft Azure...

    SDNLAB
  • 谷歌浏览器截取完整屏幕的方式(有下拉滚动条)

    示例:https://blog.csdn.net/qq_39390545 (很长很长)

    陈哈哈
  • 微博开推的内容开放协议,会再造一个互联网吗?

    内容创业浪潮正在深刻改变互联网的形态:基于URL的WEB已不再是主流形式,反而是一个个内容平台,正在形成大量的“内容孤岛”:微博、微信、今日头条、百家号、企鹅号...

    罗超频道
  • 动手实现一个简易的webpack

    npm install --dev-save @babel/core @babel/preset-env @babel/traverse babylon mag...

    疯狂的技术宅
  • orm 系列 之 Eloquent演化历程2

    上篇讲到了数据库Relation的实现,本篇接着讲migrations or database modification logic的功能,此处开始的git是g...

    zhuanxu
  • 如何实现内容IP正版化、改编多样化和互动实时化

    8月29日-30日,第六期芒种特训营媒体专场在北京顺利结课。这是特训营第一次面向传统媒体“上课”。本次“特别版”芒种训练营也吸引到了80余位专业媒体机构的媒体人...

    腾讯研究院
  • 安卓签名证书(keystore)生成并用HBuild打包发行

    Android平台打包发布apk应用,需要使用数字证书(.keystore文件)进行签名,用于表明开发者身份。

    lollipop72

扫码关注云+社区

领取腾讯云代金券