And*_*rey 4 security http transport man-in-the-middle owasp
我在https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_Support上阅读了OWASP的HSTS备忘单, 并观看了相关视频:https: //www.youtube.com/watch?v = zEV3HOuM_Vw
但是,在用户输入http://site.com的情况下,我仍然无法理解这有助于防止中间人攻击.OWASP声称它有所帮助.
让我们想象下面的场景:中间人得到受害者的请求:http://site.com.然后他将自己的HTTPS请求激活到https://site.com并将内容返回给用户,剥离HSTS标头.攻击者可以看到所有进一步的用户输入.
在我看来,除非我们从一开始就使用HTTPS,否则无法防范MITM.
HSTS标题真的可以帮助抵御MITM攻击吗?
HSTS仅在用户代理之前访问过该站点并且在第一次访问时没有来自MITM的干扰时才有帮助.换言之,第一次访问该网站时您很容易受到攻击,但再也不会.
由于你第一次仍然很脆弱,HSTS远非完美.但它总比没有好,因为它确实可以防止攻击者在您之前访问过该网站后攻击您.
(除非用户第一次小心使用https:在这种情况下,他们第一次受到保护,同时也防止在所有后续访问中忘记使用https.)