伴隨着互聯網發展,大家都習慣了在瀏覽器地址裏輸入HTTP格式的網址。1989年,世界上第一個HTTP(HyperText Transfer Protocol超文本傳輸協議)誕生,早期HTTP設計出來只是爲了考慮到用戶的便利性,HTTP傳輸所有的數據都是以明文傳輸,信息數據在互聯網中處於“0防護”狀態,HTTP傳輸存在着非常嚴重的安全漏洞,這個最初的訪問協議已經跟不上互聯網時代發展的步伐了。
不知道你有沒有過這種經歷,刷微博,瀏覽新聞,下面提示“領取紅包”、“真人侍寵”或一些大保健腎虧廣告;
下載某應用,無論是手機端還是 PC 端,下載到本地都會變成了UC、2345、瑞星;
打開的是A網站,莫名其妙卻被跳轉至B網站,多爲“黑五類廣告”。你以爲自己電腦中病毒了?不,其實是你的流量被劫持了。
各類劫持效果圖
流量劫持是一種企業和個人常常會遇到的網絡安全問題,這種網絡劫持不但危害了企業信息安全爲企業帶來損失,更會影響用戶體驗。用戶信息很容易被泄露,賬號密碼經過技術處理一覽無餘。
7月18日,國內某大型門戶網站遭劫持,訪問新聞首頁自動跳轉到博彩網站;鬧得最大的還是2017年5月10日晚上,國字號某App遭流量劫持。該App某H5頁面被植入色情內容廣告,後經排查“基本確定爲用戶當地運營商HTTP劫持導致H5頁面被插入廣告……”
流量劫持從技術角度分析主要包括DNS劫持和鏈路劫持,從劫持對象來區分主要分爲運營商劫持和企業/個人劫持。
由於HTTP明文傳輸協議的缺陷,是導致流量劫持的重要原因。同時中間內容劫持的利益巨大,所以用戶隱私泄露的風險非常高。HTTP協議無法加密數據,所有通信數據都在網絡中明文“裸奔”。通過網絡的嗅探設備及一些技術手段,就可還原HTTP報文內容。
主要危害體現以下四點:
1、HTTP易致在線應用被劫持
在線使用的 WebApp,流量裏既有通信數據,又有程序的界面和代碼,劫持簡直輕而易舉。因此,劫持網頁流量成了各路黑客們的鐘愛,一種可在任意網頁發起 XSS 的入侵方式。
2、公共場合使用HTTP,不登陸也會被劫持
在自己的設備上,大家都會記住各種賬號的登錄狀態,反正只有自己用,也沒什麼大不了的。然而,在被劫持的網絡裏,即使瀏覽再平常不過的網頁,或許一個悄無聲息的間諜腳本已暗藏其中,正偷偷訪問你那登錄着的網頁,操控起你的賬號了。
3、HTTP狀態下,Cookie 記錄或瀏覽器自動填表單,都會導致賬號密碼被截獲
HTTP狀態下,cookie記錄的都是明文的賬號密碼,被劫持泄露後,即使數量不多,也能通過社工獲取到用戶的更多信息,最終導致更嚴重的泄露。
4、HTTP 緩存投毒
HTTP這種簡單的純文本協議,幾乎沒有一種簽名機制,來驗證內容的真實性。即使頁面被篡改了,瀏覽器也完全無法得知,甚至連同注入的腳本也一塊緩存起來。但凡具備可執行的資源,都可以通過預加載帶毒的版本,將其提前緩存起來。
企業如何避免流量劫持?
對於企業而言,選擇切換到HTTPS是當前主流的手段,如果從密碼學的角度來說,使用了 SSL 加密的數據確實難以破解,更不用談修改了。
作爲以安全爲目標的HTTP通道, HTTPS被認爲是HTTP的安全版,即在應用層又加了SSL協議,會對數據進行加密。在數據傳輸的過程中提供身份驗證與數據加密通訊措施,那運營商劫持的亂象就可以完全被杜絕。
選擇受信任的SSL證書
不同於簡單的 HTTP 代理,HTTPS 服務需要權威權威CA機構認定頒發的證書纔算有效。自己隨便籤發的證書,顯然是沒有說服力的,HTTPS 客戶端因此會質疑。而遇到“此網站安全證書存在問題”的警告時,大多用戶不明白是什麼情況,就點了繼續,導致允許了黑客的僞證書,HTTPS 流量因此遭到劫持。
如果重要的賬戶網站遇到這種情況,無論如何都不該點擊繼續,否則大門鑰匙或許就落入黑客之手。
全站HTTPS的重要性
情況一:從HTTP頁面跳轉訪問HTTPS頁面
事實上,在 PC 端上網很少有直接進入HTTPS 網站的。例如支付寶網站,大多是從淘寶跳轉過來,而淘寶使用的仍是不安全的 HTTP 協議。如果在淘寶網的頁面裏注入 XSS,屏蔽跳轉到 HTTPS 的頁面訪問,用 HTTP 取而代之,那麼用戶也就永遠無法進入安全站點了。
儘管地址欄裏沒有出現HTTPS 的字樣,但域名看起來也是正確的,大多用戶都會認爲不是釣魚網站,因此也就忽視了。
因此,只要入口頁是不安全的,那麼之後的頁面再安全也無濟於事。
情況二:HTTP頁面重定向到HTTPS頁面
有一些用戶通過輸網址訪問的,他們輸入了 http://www.alipaly.com 就敲回車進入了。然而,瀏覽器並不知道這是一個 HTTPS 的站點,於是使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在,其唯一功能就是重定向到自己 HTTPS 站點上。
劫持流量的中間人一旦發現有重定向到 HTTPS 站點的,於是攔下重定向的命令,自己去獲取重定向後的站點內容,然後再回復給用戶。於是,用戶始終都是在 HTTP 站點上訪問,自然就可以無限劫持了。
國外各大知名網站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過全站HTTPS技術措施來保證用戶機密信息和交易安全,防止會話攻擊和中間人攻擊。
很多國內廠商也在這方面做了努力,支付寶是國內較早支持了全站HTTPS的網站,淘寶顯示在登錄、結算、訂單等頁面加密,後升級爲全站加密。百度等國內互聯網巨頭也陸續完成了全站HTTPS加密。
不想被用戶拋棄?
趕緊升級HTTPS對流量劫持說No!
針對部署升級HTTPS加密的技術難點和申請證書的繁多流程,TrustAsia(亞洲誠信)提供全球可信的SSL證書(EV SSL證書、OVSSL證書、 DV SSL證書),擁有基於MPKI證書管理、全站加密解決方案、MySSL安全評估等網絡安全解決方案,聚焦網絡傳輸安全,爲您提供全方位的7*24小時全天候技術支持服務,做到安全與極速的平衡。助您輕鬆無憂升級HTTPS加密!
