文档章节

吓skr人了!网站莫名跳转,真相竟然是这样……

亚洲诚信
 亚洲诚信
发布于 2018/08/01 16:04
字数 2029
阅读 51
收藏 0

伴随着互联网发展,大家都习惯了在浏览器地址里输入HTTP格式的网址。1989年,世界上第一个HTTP(HyperText Transfer Protocol超文本传输协议)诞生,早期HTTP设计出来只是为了考虑到用户的便利性,HTTP传输所有的数据都是以明文传输,信息数据在互联网中处于“0防护”状态,HTTP传输存在着非常严重的安全漏洞,这个最初的访问协议已经跟不上互联网时代发展的步伐了。

 

不知道你有没有过这种经历,刷微博,浏览新闻,下面提示“领取红包”、“真人侍宠”或一些大保健肾亏广告;

下载某应用,无论是手机端还是 PC 端,下载到本地都会变成了UC、2345、瑞星;

打开的是A网站,莫名其妙却被跳转至B网站,多为“黑五类广告”。你以为自己电脑中病毒了?不,其实是你的流量被劫持了。

各类劫持效果图

流量劫持是一种企业和个人常常会遇到的网络安全问题,这种网络劫持不但危害了企业信息安全为企业带来损失,更会影响用户体验。用户信息很容易被泄露,账号密码经过技术处理一览无余。

7月18日,国内某大型门户网站遭劫持,访问新闻首页自动跳转到博彩网站;闹得最大的还是2017年5月10日晚上,国字号某App遭流量劫持。该App某H5页面被植入色情内容广告,后经排查“基本确定为用户当地运营商HTTP劫持导致H5页面被插入广告……”

流量劫持从技术角度分析主要包括DNS劫持和链路劫持,从劫持对象来区分主要分为运营商劫持和企业/个人劫持。

由于HTTP明文传输协议的缺陷,是导致流量劫持的重要原因。同时中间内容劫持的利益巨大,所以用户隐私泄露的风险非常高。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段,就可还原HTTP报文内容。

主要危害体现以下四点:

1、HTTP易致在线应用被劫持

在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。因此,劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起 XSS 的入侵方式。

2、公共场合使用HTTP,不登陆也会被劫持

在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页,操控起你的账号了。

3、HTTP状态下,Cookie 记录或浏览器自动填表单,都会导致账号密码被截获

HTTP状态下,cookie记录的都是明文的账号密码,被劫持泄露后,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。

4、HTTP 缓存投毒

HTTP这种简单的纯文本协议,几乎没有一种签名机制,来验证内容的真实性。即使页面被篡改了,浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。

 

企业如何避免流量劫持?

对于企业而言,选择切换到HTTPS是当前主流的手段,如果从密码学的角度来说,使用了 SSL 加密的数据确实难以破解,更不用谈修改了。

作为以安全为目标的HTTP通道, HTTPS被认为是HTTP的安全版,即在应用层又加了SSL协议,会对数据进行加密。在数据传输的过程中提供身份验证与数据加密通讯措施,那运营商劫持的乱象就可以完全被杜绝。

选择受信任的SSL证书

不同于简单的 HTTP 代理,HTTPS 服务需要权威权威CA机构认定颁发的证书才算有效。自己随便签发的证书,显然是没有说服力的,HTTPS 客户端因此会质疑。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,HTTPS 流量因此遭到劫持。

如果重要的账户网站遇到这种情况,无论如何都不该点击继续,否则大门钥匙或许就落入黑客之手。

 

全站HTTPS的重要性

情况一:从HTTP页面跳转访问HTTPS页面

事实上,在 PC 端上网很少有直接进入HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽跳转到 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。

因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。

 

情况二:HTTP页面重定向到HTTPS页面

有一些用户通过输网址访问的,他们输入了 http://www.alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。

国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过全站HTTPS技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。

很多国内厂商也在这方面做了努力,支付宝是国内较早支持了全站HTTPS的网站,淘宝显示在登录、结算、订单等页面加密,后升级为全站加密。百度等国内互联网巨头也陆续完成了全站HTTPS加密。

 

不想被用户抛弃?

赶紧升级HTTPS对流量劫持说No!

针对部署升级HTTPS加密的技术难点和申请证书的繁多流程,TrustAsia(亚洲诚信)提供全球可信的SSL证书(EV SSL证书、OVSSL证书、 DV SSL证书),拥有基于MPKI证书管理、全站加密解决方案、MySSL安全评估等网络安全解决方案,聚焦网络传输安全,为您提供全方位的7*24小时全天候技术支持服务,做到安全与极速的平衡。助您轻松无忧升级HTTPS加密!

 

© 著作权归作者所有

亚洲诚信
粉丝 5
博文 111
码字总数 87980
作品 0
程序员
私信 提问
做完小程序项目、老板给我加了6k薪资~

大家好,我是苏南(South·Su),今天要给大家分享的是最近公司做的一个小程序项目,过程中的一些好的总结和遇到的坑,希望能给其他攻城狮带来些许便利,更希望能像标题所说,做完老板给你加薪...

苏南
2018/09/25
0
0
不可靠的数字

1、 08年我在网易门户,新浪当时发力新闻跟帖,挑战网易新闻跟帖。新浪上了一个功能,让每一次“顶跟帖”的用户行为生成一条新的跟帖,于是跟帖数很快超过了网易,搞得我们压力很大。 为此,...

xrzs
2015/03/10
725
2
IT 男网恋豪掷 43 万,「软妹」竟是糙汉子

(给程序员的那些事加星标) 网恋有真爱,也有真惊吓。 2018年11月,杭州蒋村派出所破了个网恋案,受害人是个90年的技术宅男小王;被网恋对象一共骗取43万元。 小王曾两次到派出所报案,让人...

程序员的那些事_
2018/12/16
0
0
你不曾察觉的隐患:危险的 target=“_blank” 与 “opener”

在网页中使用链接时,如果想要让浏览器自动在新的标签页打开指定的地址,通常的做法就是在 标签上添加 属性。 然而,就是这个属性,为钓鱼攻击者带来了可乘之机。 起源 与 在说 之前,可以先...

程序师
2018/09/20
0
0
怎么给新手解释 react 的 spa 应用锚点跳转的问题

更多内容在个人语雀:www.yuque.com/xiezhongfu/… 问题是什么 单页面应用,在同一个页面使用 hash 跳转到页面不同位置(锚点跳转)。此功能是不正常的。 还可以看看前人发的 issue 参见:git...

昵称可以为空
08/01
0
0

没有更多内容

加载失败,请刷新页面

加载更多

nginx学习笔记

中间件位于客户机/ 服务器的操作系统之上,管理计算机资源和网络通讯。 是连接两个独立应用程序或独立系统的软件。 web请求通过中间件可以直接调用操作系统,也可以经过中间件把请求分发到多...

码农实战
今天
5
0
Spring Security 实战干货:玩转自定义登录

1. 前言 前面的关于 Spring Security 相关的文章只是一个预热。为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始。安全访问的第一步就是认证(Authentication),认证...

码农小胖哥
今天
11
0
JAVA 实现雪花算法生成唯一订单号工具类

import lombok.SneakyThrows;import lombok.extern.slf4j.Slf4j;import java.util.Calendar;/** * Default distributed primary key generator. * * <p> * Use snowflake......

huangkejie
昨天
12
0
PhotoShop 色调:RGB/CMYK 颜色模式

一·、 RGB : 三原色:红绿蓝 1.通道:通道中的红绿蓝通道分别对应的是红绿蓝三种原色(RGB)的显示范围 1.差值模式能模拟三种原色叠加之后的效果 2.添加-颜色曲线:调整图像RGB颜色----R色增强...

东方墨天
昨天
11
1
将博客搬至CSDN

将博客搬至CSDN

算法与编程之美
昨天
13
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部