如果流量被劫持了还引起不了你的警惕的话,你真的要吃大亏了!

幸运草 2020年5月18日21:51:11劫持评论阅读模式

流量劫持:到底是谁在耍流氓?

30年前,全球第一个http诞生,最初的http设计出来的初衷是考虑到用户的便利性,http传输所有的数据都是以明文传输,信息大数据在互联网中处于“0防护”状态,http传输漏洞百出,这个最原始的访问协议已远远跟不上互联网时代下发展的节奏了。

有时,我们刷着微博,浏览新闻,突然冒出来一波“各种平台的红包”、“真人侍宠”最反感的就是各种大保健肾虚等广告;想下载一些应用软件时,无论是手机端还是 PC 端,下载到本地后都会变成了UC、2345、瑞星杀毒;打开A站,莫名其妙的跳转到B站,甚至跳转到色情网站,其实基本上都是“黑五类广告”。单纯的你可能以为自己电脑中毒了,并不是,只是你的流量被劫持了而已。

如果流量被劫持了还引起不了你的警惕的话,你真的要吃大亏了!
流量劫持是企业和个人经常会遇到的网络安全问题,这种网络劫持不但危及企业信息安全,给企业带来损失,更加会影响用户体验。用户信息很容易被泄露,账号密码经过技术大神处理一览无余。

就在上个月,7月18号,国内知名大型门户网站惨遭毒手被劫持,原本访问新闻首页自动跳转到赌博网站。这还不算什么,闹得最大的还是去年的5月10日晚上,国字号某App遭流量劫持。该App的某H5页面被植入色情内容广告,排查后“基本确定为用户当地运营商http劫持所导致H5页面被插入广告……”

如果流量被劫持了还引起不了你的警惕的话,你真的要吃大亏了!
这里给小白们普及一下,流量劫持从技术角度分析主要包含DNS劫持和链路劫持,从劫持对象来区分可以分为运营商劫持和企业/个人劫持。

导致流量劫持的重要原因是http明文传输协议的缺陷,因为中间内容劫持的利益非常巨大,所以用户隐私泄露的风险非常高。http协议没法做到加密数据,所有通信数据都在互联网中明文“裸奔”。通过网络的嗅探设备和一些技术手段,就可还原http报文内容。

通过以下四点,你可以感受到它的危害:

1、http易造成在线应用被劫持

在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,想劫持简直手到擒来。因此,网页流量劫持受到各路黑客们的热衷,一种可在任意网页发起 XSS 的入侵方式。

2、公共场合使用http,你不登陆也会被劫持

在自己的电脑上,大家基本上都是记住密码和账号,想着反正只有自己用,也没什么要紧的。但是,在被劫持的网络里,即使浏览非常不起眼的网页,这时一个悄无声息的间谍脚本可能已暗藏其中,正偷偷访问你那登录着或者保存状态的网页,操控起你的账号了。

3、http状态下,Cookie 记录或浏览器自动填表单,这都能导致账号密码被截取

http状态下,因为cookie记录的都是明文的账号密码,遭到劫持泄露后,哪怕数量不多,也能通过社工获取到用户的更多信息,最终造成更为严重的泄露。

4、http 缓存投毒

对于http这种简单到极致的纯文本协议,还真没有哪种签名机制,来验证内容的真实性。就算页面被篡改,浏览器也无法得知,乃至连同注入的脚本也一起缓存。凡是具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。

企业怎样才能避免流量劫持?

对于企业而言,选择切换到httpS是当下最正确最主流的手段,再从密码学的层面来说,使用了 SSL 加密的数据确实难以破解,更别说是修改了。

以安全为目的的http通道, httpS被认为是http的安全版,即在应用层又加了SSL协议,会对数据进行全面加密。在数据传输的过程中提供身份验证与数据加密通讯举措,那运营商劫持的乱象就可以完全被杜绝。

 
 
选择受信任的SSL证书

这和简单的 http 代理并不相同,httpS 得权威的CA机构认可颁发的证书才算有效。对于自己随意签发的证书,显然是没有说服力的,httpS 的客户端会因此怀疑。当遇到“此网站安全证书存在问题”的预警时,很多用户不明白是什么意思,随意就点了继续,从而导致允许黑客的伪证书,httpS 流量因此遭到劫持。

所以账户网站以后遇到这种情况,不管怎样都不要点击继续,否则你家大门钥匙就相当于双手俸给黑客。

全站httpS的重要性

情况一:从http页面跳转访问httpS页面

现实中,从 PC 端上网基本上是不可能进入https网站的。拿支付宝网站来说,大多都是从淘宝网站跳转过来,假设淘宝使用的是不安全的 http 协议的话。再在淘宝网的页面里注入 XSS,最后再屏蔽跳转到 httpS 的页面访问,用 http 取而代之,结果就是用户永远无法进入安全站点了。

就算地址栏里没有出现httpS 的绿色字样,但至少域名看起来是正确的,用户都会认为不是钓鱼网站,因此也就忽略了。

由此,我们得到的结论是,只要入口页面是危险的的,那么之后的页面再安全也无济于事。

情况二:http页面重定向到httpS页面

有些用户自己通过输入网址访问,他们输入了 http://www.alipaly.com 之后就敲回车进入。但是,浏览器不会知道这是一个 httpS 的站点,所以就默认的使用 http 去访问。这个 http 版的支付宝也确实有,但它唯一功能就是重定向到自己 httpS 站点上。

劫持流量的中间人一旦发现有重定向到 httpS 站点的,会立即拦下重定向的指令,接着自己去获取重定向以后的站点内容,最后再回复给用户。这样一来,用户自始至终都是在 http 站点上访问,也就自然可以无限劫持了。

国外很多知名的网站(PayPal、Twitter、Facebook、Gmail,Hotmail等)都通过全站httpS技术举措来保护用户机密信息和交易安全,防止会话攻击和中间人攻击。我们国内厂商现在也在这方面诸多努力,支付宝是我国比较早支持全站httpS的网站,淘宝网最初显示在登录、结算、订单等页面加密,最后升级为全站加密。百度等互联网巨头也陆续完成了全站httpS部署。

你想被用户抛弃吗?

那就赶紧升级httpS对流量劫持Say No!

针对部署升级httpS加密的技术难点和申请证书的繁琐流程,铭普科技提供全球可信的SSL证书(EV SSL证书、OV SSL证书、 DV SSL证书),拥有基于MPKI证书管理、全站加密解决方案、MySSL安全评估等网络安全解决方案,聚焦网络传输安全,铭普科技为您提供全方位的7*24小时全天候技术支持服务,我们专业的团队为您做到安全与极速的平衡。助您轻松无忧升级httpS加密!

特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

如何以安全服务增强企业网络安全

网络罪犯不断地改变其攻击和方法,以保持领先于企业的安全措施。这种持续的威胁演变迫使企业持续地准备防御新的攻击手段。企业能否成功防御依赖于如何预测下一种威胁,减小与网络攻击者的差距并及时修补漏洞。 企业的困难在于:网络、设备和以前所未有的速率添加到网络中的应用程…

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 加入Q群
  • QQ扫一扫
  • weinxin
幸运草

发表评论