freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

吓skr人了!网站莫名跳转,真相竟然是这样……
2018-07-31 17:40:41

伴随着互联网发展,大家都习惯了在浏览器地址里输入HTTP格式的网址。1989年,世界上第一个HTTP(HyperText Transfer Protocol超文本传输协议)诞生,早期HTTP设计出来只是为了考虑到用户的便利性,HTTP传输所有的数据都是以明文传输,信息数据在互联网中处于“0防护”状态,HTTP传输存在着非常严重的安全漏洞,这个最初的访问协议已经跟不上互联网时代发展的步伐了。


不知道你有没有过这种经历,刷微博,浏览新闻,下面提示“领取红包”、“真人侍宠”或一些大保健肾亏广告;

下载某应用,无论是手机端还是 PC 端,下载到本地都会变成了UC、2345、瑞星;

打开的是A网站,莫名其妙却被跳转至B网站,多为“黑五类广告”。你以为自己电脑中病毒了?不,其实是你的流量被劫持了。


11111.jpg各类劫持效果图


流量劫持是一种企业和个人常常会遇到的网络安全问题,这种网络劫持不但危害了企业信息安全为企业带来损失,更会影响用户体验。用户信息很容易被泄露,账号密码经过技术处理一览无余。

WechatIMG257.jpeg7月18日,国内某大型门户网站遭劫持,访问新闻首页自动跳转到博彩网站;闹得最大的还是2017年5月10日晚上,国字号某App遭流量劫持。该App某H5页面被植入色情内容广告,后经排查“基本确定为用户当地运营商HTTP劫持导致H5页面被插入广告……”

guowuyuan.jpg

流量劫持从技术角度分析主要包括DNS劫持和链路劫持,从劫持对象来区分主要分为运营商劫持和企业/个人劫持。

由于HTTP明文传输协议的缺陷,是导致流量劫持的重要原因。同时中间内容劫持的利益巨大,所以用户隐私泄露的风险非常高。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段,就可还原HTTP报文内容。

主要危害体现以下四点:

1、HTTP易致在线应用被劫持

在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。因此,劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起 XSS 的入侵方式。

2、公共场合使用HTTP,不登陆也会被劫持

在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页,操控起你的账号了。

3、HTTP状态下,Cookie 记录或浏览器自动填表单,都会导致账号密码被截获

HTTP状态下,cookie记录的都是明文的账号密码,被劫持泄露后,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。

4、HTTP 缓存投毒

HTTP这种简单的纯文本协议,几乎没有一种签名机制,来验证内容的真实性。即使页面被篡改了,浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。


企业如何避免流量劫持?

对于企业而言,选择切换到HTTPS是当前主流的手段,如果从密码学的角度来说,使用了 SSL 加密的数据确实难以破解,更不用谈修改了。

作为以安全为目标的HTTP通道, HTTPS被认为是HTTP的安全版,即在应用层又加了SSL协议,会对数据进行加密。在数据传输的过程中提供身份验证与数据加密通讯措施,那运营商劫持的乱象就可以完全被杜绝。

WX20180731-122544.png

选择受信任的SSL证书

不同于简单的 HTTP 代理,HTTPS 服务需要权威权威CA机构认定颁发的证书才算有效。自己随便签发的证书,显然是没有说服力的,HTTPS 客户端因此会质疑。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,HTTPS 流量因此遭到劫持。

如果重要的账户网站遇到这种情况,无论如何都不该点击继续,否则大门钥匙或许就落入黑客之手。


全站HTTPS的重要性

情况一:从HTTP页面跳转访问HTTPS页面

事实上,在 PC 端上网很少有直接进入HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽跳转到 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。

因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。


情况二:HTTP页面重定向到HTTPS页面

有一些用户通过输网址访问的,他们输入了 http://www.alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。

国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过全站HTTPS技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。

很多国内厂商也在这方面做了努力,支付宝是国内较早支持了全站HTTPS的网站,淘宝显示在登录、结算、订单等页面加密,后升级为全站加密。百度等国内互联网巨头也陆续完成了全站HTTPS加密。


不想被用户抛弃?

赶紧升级HTTPS对流量劫持说No!

针对部署升级HTTPS加密的技术难点和申请证书的繁多流程,TrustAsia(亚洲诚信)提供全球可信的SSL证书(EV SSL证书、OVSSL证书、 DV SSL证书),拥有基于MPKI证书管理、全站加密解决方案、MySSL安全评估等网络安全解决方案,聚焦网络传输安全,为您提供全方位的7*24小时全天候技术支持服务,做到安全与极速的平衡。助您轻松无忧升级HTTPS加密!


640.jpeg

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者