HTTP Public Key Pinning (HPKP) Bypass
HTTP Public Key Pinning (HPKP) Bypass è una vulnerabilità informatica che permette ad un attaccante di evitare la protezione fornita dal meccanismo di pinning delle chiavi pubbliche (HPKP) su un sito web, consentendo al malintenzionato di eseguire attacchi Man-in-The-Middle.
Il meccanismo di pinning delle chiavi pubbliche (HPKP), permette ai siti web di specificare quali chiavi pubbliche dovrebbero essere accettate come valide durante le connessioni HTTPS. Ciò previene che gli attaccanti possano sostituire la chiave pubblica del sito con la loro chiave e quindi eseguire attacchi.
Tuttavia, alcuni browser hanno un problema con HPKP. Ad esempio, se un certificato viene emesso prima che HPKP sia stato introdotto, non sarà possibile impostare il valore del certificate pin e quindi non si applicherà la protezione HPKP. Inoltre, l’attaccante potrebbe eseguire un attacco di downgrade sulla connessione HTTPS del sito web, costringendo il browser a utilizzare HTTP, che non supporta HPKP.
Per prevenire questa vulnerabilità, le organizzazioni devono assicurarsi che il loro certificato SSL / TLS sia stato emesso dopo che HPKP è stato introdotto e monitorare costantemente il proprio sito web per individuare eventuali attacchi.