当前位置 博文首页 > 文章内容
最大化 缩小

    https能否避免流量劫持,流量劫持能有多大危害

    作者:dlxiaoyu01 栏目:网站安全 时间:2020-11-25 15:23:12

    本站于2023年9月4日。收到“大连君*****咨询有限公司”通知
    说我们IIS7站长博客,有一篇博文用了他们的图片。
    要求我们给他们一张图片6000元。要不然法院告我们

    为避免不必要的麻烦,IIS7站长博客,全站内容图片下架、并积极应诉
    博文内容全部不再显示,请需要相关资讯的站长朋友到必应搜索。谢谢!

    另祝:版权碰瓷诈骗团伙,早日弃暗投明。

    相关新闻:借版权之名、行诈骗之实,周某因犯诈骗罪被判处有期徒刑十一年六个月

    叹!百花齐放的时代,渐行渐远!


      “在如今这个讲究跨平台、体验好,并有云端支持的年代,WebApp越来越火热。各种应用纷纷移植成网页版,一些甚至替代了客户端。同时,也造就了流量劫持前所未有的势头。”小编总结,这里提到的流量劫持危害,大多跟Http明文传输协议的薄弱有关系。

      我们来看看流量劫持会带来什么危害?

      不同的劫持方式,获得的流量也有所差异。DNS 劫持,只能截获通过域名发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵,只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持,用户所有流量都难逃魔掌。

      1 、http 易致在线应用被劫持

      网页技术在近些年里有了很大的发展,但其底层协议始终没有太大的改进—— HTTP,一种使用了 20 多年古老协议。在 HTTP 里,一切都是明文传输的,流量在途中可随心所欲的被控制。而在线使用的WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。因此,劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起 XSS 的入侵方式。

      2 、公共场合使用http ,不登陆也会被劫持

      在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页,操控起你的账号了。

      3 、http 状态下,Cookie  记录或浏览器自动填表单,都会导致账号密码被截获

      http状态下,cookie记录的都是明文的账号密码,被劫持泄露后,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。

      4 、HTTP  缓存投毒

      HTTP这种简单的纯文本协议,几乎没有一种签名机制,来验证内容的真实性。即使页面被篡改了,浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。

      5 、Https 能避免劫持吗?

      能!但前提是必须用受信任的 SSL证书。

      不同于简单的Http代理,HTTPS 服务需要 权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,HTTPS 流量因此遭到劫持。

      如果重要的账户网站遇到这种情况,无论如何都不该点击继续,否则大门钥匙或许就落入黑客之手。

      这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书。

      自签证书是指不受信任的任意机构或个人,自己随意签发的证书,容易被黑客伪造替换。

      6 、全站Https 的重要性

      情况一:从http页面跳转访问https页面

      事实上,在 PC 端上网很少有直接进入HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽跳转到 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。

      尽管地址栏里没有出现HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。

      因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。

      情况二:http页面重定向到https页面

      有一些用户通过输网址访问的,他们输入了  www.alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。

      劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。

      国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Alwayson SSL(全站https)技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。

      7 、搜索引擎劫持

      事实上,HTTPS 站点还有个很大的来源——搜索引擎。遗憾的是,国产搜索引擎几乎都不提供 HTTPS 服务。

      谷歌已开始提供https加密搜索方式。Google在官方博客介绍说,普通的HTTP浏览是不安全的,用户和服务器之间的通讯会被第三方监听和干扰,对于Google来说,你在Google搜索的词语会被第三方截获,如果第三方不希望你在Google搜索这个词语,还可以通过技术手段阻止用户的搜索行为。使用HTTPS的Google搜索中,用户搜索的信息将无法被第三方获取,也不会出现数据泄漏的问题,搜索结果页面也不会被干扰或篡改。

      结语

      从上面的各类劫持案例中,我们可以看出,Https是很有效的流量劫持防范措施,无论是网络服务提供商还是广大网民,为咱自己的帐户安全和权益,都要形成使用https访问网站的习惯和意识,重要的网站必定使用 HTTPS 协议,登陆时需格外留意!