近日,看了一篇關於流量劫持的文章《安全科普:流量劫持能有多大危害?》,作者EtherDream以圖文並茂的形式詳細講解了流量劫持及相關知識。“在如今這個講究跨平臺、體驗好,並有雲端支持的年代,WebApp越來越火熱。各種應用紛紛移植成網頁版,一些甚至替代了客戶端。同時,也造就了流量劫持前所未有的勢頭。”小編總結,這裏提到的流量劫持危害,大多跟Http明文傳輸協議的薄弱有關係。
我們來看看流量劫持會帶來什麼危害?
不同的劫持方式,獲得的流量也有所差異。DNS 劫持,只能截獲通過域名發起的流量,直接使用 IP 地址的通信則不受影響;CDN 入侵,只有瀏覽網頁或下載時纔有風險,其他場合則毫無問題;而網關被劫持,用戶所有流量都難逃魔掌。
1、http易致在線應用被劫持
網頁技術在近些年裏有了很大的發展,但其底層協議始終沒有太大的改進—— HTTP,一種使用了 20 多年古老協議。在 HTTP 裏,一切都是明文傳輸的,流量在途中可隨心所欲的被控制。而在線使用的WebApp,流量裏既有通信數據,又有程序的界面和代碼,劫持簡直輕而易舉。因此,劫持網頁流量成了各路黑客們的鐘愛,一種可在任意網頁發起 XSS 的入侵方式。
2、公共場合使用http,不登陸也會被劫持
在自己的設備上,大家都會記住各種賬號的登錄狀態,反正只有自己用,也沒什麼大不了的。然而,在被劫持的網絡裏,即使瀏覽再平常不過的網頁,或許一個悄無聲息的間諜腳本已暗藏其中,正偷偷訪問你那登錄着的網頁,操控起你的賬號了。
3、http狀態下,Cookie 記錄或瀏覽器自動填表單,都會導致賬號密碼被截獲
http狀態下,cookie記錄的都是明文的賬號密碼,被劫持泄露後,即使數量不多,也能通過社工獲取到用戶的更多信息,最終導致更嚴重的泄露。
4、HTTP 緩存投毒
HTTP這種簡單的純文本協議,幾乎沒有一種簽名機制,來驗證內容的真實性。即使頁面被篡改了,瀏覽器也完全無法得知,甚至連同注入的腳本也一塊緩存起來。但凡具備可執行的資源,都可以通過預加載帶毒的版本,將其提前緩存起來。
5、Https能避免劫持嗎?
能!但前提是必須用受信任的SSL證書。
不同於簡單的Http代理,HTTPS 服務需要權威CA機構頒發的SSL證書纔算有效。自簽證書瀏覽器不認,而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時,大多用戶不明白是什麼情況,就點了繼續,導致允許了黑客的僞證書,HTTPS
流量因此遭到劫持。
如果重要的賬戶網站遇到這種情況,無論如何都不該點擊繼續,否則大門鑰匙或許就落入黑客之手。
這裏所說的權威CA機構是指已經通過WebTrust國際認證,根證書由微軟預置,受微軟等各類操作系統、主流移動設備和瀏覽器信任的CA機構;在中國還要附加一項,就是要拿到工信部許可的CA牌照;這樣的CA機構,纔有權利簽發各類數字證書。
自簽證書是指不受信任的任意機構或個人,自己隨意簽發的證書,容易被黑客僞造替換。
6、全站Https的重要性
情況一:從http頁面跳轉訪問https頁面
事實上,在 PC 端上網很少有直接進入HTTPS 網站的。例如支付寶網站,大多是從淘寶跳轉過來,而淘寶使用的仍是不安全的 HTTP 協議。如果在淘寶網的頁面裏注入 XSS,屏蔽跳轉到 HTTPS 的頁面訪問,用 HTTP 取而代之,那麼用戶也就永遠無法進入安全站點了。
儘管地址欄裏沒有出現HTTPS 的字樣,但域名看起來也是正確的,大多用戶都會認爲不是釣魚網站,因此也就忽視了。
因此,只要入口頁是不安全的,那麼之後的頁面再安全也無濟於事。
情況二:http頁面重定向到https頁面
有一些用戶通過輸網址訪問的,他們輸入了 www.alipaly.com 就敲回車進入了。然而,瀏覽器並不知道這是一個 HTTPS 的站點,於是使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在,其唯一功能就是重定向到自己
HTTPS 站點上。
劫持流量的中間人一旦發現有重定向到 HTTPS 站點的,於是攔下重定向的命令,自己去獲取重定向後的站點內容,然後再回復給用戶。於是,用戶始終都是在 HTTP 站點上訪問,自然就可以無限劫持了。
國外各大知名網站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Alwayson SSL(全站https)技術措施來保證用戶機密信息和交易安全,防止會話攻擊和中間人攻擊。
7、搜索引擎劫持
事實上,HTTPS 站點還有個很大的來源——搜索引擎。遺憾的是,國產搜索引擎幾乎都不提供 HTTPS 服務。
谷歌已開始提供https加密搜索方式。Google在官方博客介紹說,普通的HTTP瀏覽是不安全的,用戶和服務器之間的通訊會被第三方監聽和干擾,對於Google來說,你在Google搜索的詞語會被第三方截獲,如果第三方不希望你在Google搜索這個詞語,還可以通過技術手段阻止用戶的搜索行爲。使用HTTPS的Google搜索中,用戶搜索的信息將無法被第三方獲取,也不會出現數據泄漏的問題,搜索結果頁面也不會被幹擾或篡改。
結語
從上面的各類劫持案例中,我們可以看出,Https是很有效的流量劫持防範措施,無論是網絡服務提供商還是廣大網民,爲咱自己的帳戶安全和權益,都要形成使用https訪問網站的習慣和意識,重要的網站必定使用 HTTPS 協議,登陸時需格外留意!
