HTTP Strict Transport Security (HSTS) Bypass
HTTP Strict Transport Security (HSTS) is een beveiligingsmaatregel die websites kunnen implementeren om te voorkomen dat aanvallers de communicatie tussen hun server en clients afluisteren of manipuleren. Wanneer een website HSTS gebruikt, dwingt het browsers om altijd een beveiligde HTTPS-verbinding te gebruiken wanneer ze met de website communiceren, zelfs als een gebruiker per ongeluk HTTP gebruikt in plaats van HTTPS.
Toch is het mogelijk om HSTS te omzeilen via een HSTS-bypass. Dit gebeurt meestal door de aanvaller een man-in-the-middle-aanval uit te voeren en een vervalst SSL-certificaat naar de browser van de gebruiker te sturen. Dit kan de browser misleiden om een onbeveiligde HTTP-verbinding te gebruiken in plaats van een beveiligde HTTPS-verbinding.
Om HSTS-bypasses te voorkomen, moeten website-eigenaren SSL-certificaten verifiëren en beveiligingsheaders correct configureren, zodat browsers die HSTS-header correct interpreteren en handhaven kunnen. Browsers hebben dit soort kwetsbaarheden al verholpen door HSTS Preload-lijsten toe te voegen, die de toevoeging van websites die HSTS gebruiken automatisch afdwingen zonder de mogelijkheid van een HSTS-bypass.