web-dev-qa-db-fra.com

Le HSTS peut-il être désactivé dans Firefox?

Pour le pentesting/VA, il est bien sûr impératif de toujours pouvoir voir le site HTTP d'une cible. S'il est présent, HSTS entre en conflit avec ce besoin.

Sans utiliser de proxy pour résoudre le problème (par exemple Burp), est-il possible de désactiver nativement HSTS dans Firefox?

46
Cheekysoft
  1. Tapez about: support dans Firefox
  2. Cliquez sur afficher dans le dossier qui devrait ouvrir votre dossier de profil.
  3. Rechercher un fichier appelé SiteSecurityServiceState.txt et l'ouvrir
  4. Recherchez l'entrée de l'URL de votre site et supprimez-la. L'entrée ressemblerait à quelque chose comme - github.com:HSTS 120 17242 1521194647604,1,1
  5. Assurez-vous que ci-dessus Firefox est fermé afin qu'il ne l'écrase pas.

Firefox stocke les entrées HSTS dans ce fichier avec leurs périodes d'expiration. La suppression de cette entrée devrait vous permettre d'appuyer sur l'URL http. Pour l'empêcher davantage, vous pouvez probablement modifier l'autorisation de ce fichier en lecture seule.

Plus de détails - Comprendre la sécurité de transport stricte HTTP (HSTS)

REMARQUE: cela ne fonctionnera pas pour les sites bien connus comme Google, car ces listes sont préchargées par les navigateurs. Fonctionne bien pour les autres. Voir le lien ci-dessus pour plus de détails.

23
Aniket Thakur

Selon plusieurs forums, vous pouvez désactiver HSTS en introduisant une nouvelle variable de configuration. Tout d'abord, allez sur la page de configuration de Firefox (about: config), faites un clic droit, choisissez "New Integer", puis fournissez le nom "test.currentTimeOffsetSeconds" (sans guillemets) avec une valeur de 11491200. Cela devrait contourner HSTS, bien que vous il peut également être nécessaire d'effacer le cache et les connexions actives dans la boîte de dialogue Effacer l'historique récent (Ctrl-Maj-Suppr).

Cela fonctionne apparemment en raison d'une fonction appelée GetPreloadListEntry qui vérifie si l'heure actuelle est inférieure à l'heure d'expiration de la liste suivante; comme le temps est effectivement calculé pour être plus tard que le temps d'expiration, aucune vérification n'est effectuée. Cela désactive efficacement les contrôles HSTS.

23
phyrfox

J'ai pu le désactiver en définissant network.stricttransportsecurity.preloadlist à faux dans about: config

9
Tobia

Si votre scénario est que vous avez accidentellement défini HSTS sur un site sur lequel vous travaillez et que vous devez le supprimer, "Oubliez ce site" fait l'affaire.

1
RomanSt