HSTS配置缺失——降级攻击与防范
HSTS配置缺失——降级攻击与防范摘要:HSTS缺失使网站暴露于SSL剥离、中间人降级攻击风险。本文解释HSTS的必要性,并给出部署步骤(包括预加载列表)。关键词:黑客网站攻击;HSTS;降级攻击;渗透测试;SSL剥离;预加载列表一、引言没有HSTS时,用户首次访问网站可能通过HTTP,攻击者可劫持该请求并重定向到恶意站点,即使后续使用HTTPS。HSTS通知浏览器在一段时间内强制使用HTTPS。二、攻击示例用户输入example.com,默认HTTP。攻击者中间人返回302重定向到假站点。三、防御配置[*]响应头:Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
[*]提交域名到浏览器预加载列表。
四、总结HSTS简单有效,应成为所有HTTPS站点的标准配置。下一篇预告:CORS配置错误——跨域读取敏感数据。
页:
[1]