前言 HSTS 的出现，对 HTTPS 劫持带来莫大的挑战。 不过，HSTS 也不是万能的，它只能解决 SSLStrip 这类劫持方式。但仔细想想，SSLStrip 这种算劫持吗？ 劫持 vs 钓鱼 从本质上讲，SSLStrip 这类工具的技术含量是很低的。它既没破解什么算法，也没找到协议 ...

前言 之前介绍了 HTTPS 前端劫持 的方案，虽然很有趣，然而现实却并不理想。其唯一、也是最大的缺陷，就是无法阻止脚本跳转。若是没有这个缺陷，那就非常完美了 —— 当然也就没有必要写这篇文章了。 说到底，还是因为无法重写 location 这个对象 —— 它是脚本跳转的唯一渠道。尽管也流传 ...

广告再临 “老周，有人找你” 一大早，361杀毒公司的老周就被吵醒。 今天的阳光很明媚，老周伸了伸懒腰，这才踱步走向工作室。 “是谁一大早的就来吵吵，坏了我的瞌睡”，听得出来，老周有点不太 ...

流量劫持是什么？ EtherDream在一篇科普文章《安全科普：流量劫持能有多大危害？》中详细介绍了流量劫持途径和方式。 流量劫持是一种古老的攻击方式，比如早已见惯的广告弹窗等，很多人已经对此麻木，并认为流量劫持不会造成什么损失。而事实上，流量劫持可以通过多种你无法觉察的方式，暗中窃取帐号密码 ...

劫持产生的原因和方式 在网页开发的访问过程中，http是我们主要的访问协议。我们知道http是一种无状态的连接。即没有验证通讯双方的身份，也没有验证信息的完整性，所以很容易受到篡改。运营商就是利用了这一点篡改了用户正常访问的网页，插入广告或者其他一些杂七杂八的东西，达到盈利的目的。 运营商 ...

关于全站https必要性http流量劫持、dns劫持等相关技术 微信已经要求微信支付，申请退款功能必须12月7号之前必须使用https证书了（其他目前为建议使用https），IOS也是2017年1月1号要求所有请求使用https了，国内有些https证书要1000元一年，阿里云 云盾证书 有免费 ...

开篇 Istio 流量劫持的文章其实目前可以在servicemesher社区找到一篇非常详细的文章，可查阅：Istio 中的 Sidecar 注入及透明流量劫持过程详解。特别是博主整理的那张“流量劫持示意图”，已经可以很清晰的看出来劫持流程。这里我借着那张图片解释一版该图片的文字版 ...

流量劫持 1、物理层 这里的流量主要是从物理线路上进行引流，使得流量经过自己的监控设备，一般流量劫持不在这层做，但是有些监控设备会吧流量转过来做监控审计，或者做嗅探。 2、数据链路层 一般这里有两种，一种是ARP攻击-MAC欺骗一类，一种是HUB嗅探 ...