碼上歡樂
相關內容    簡體    繁體

HTTPS-能否避免流量劫持

本文轉載自   查看原文   2016-10-24 22:01   2637 

流量劫持是什么?

EtherDream在一篇科普文章《安全科普:流量劫持能有多大危害?》中詳細介紹了流量劫持途徑和方式。

流量劫持是一種古老的攻擊方式,比如早已見慣的廣告彈窗等,很多人已經對此麻木,並認為流量劫持不會造成什么損失。而事實上,流量劫持可以通過多種你無法覺察的方式,暗中竊取帳號密碼、謀財盜號!

常見的流量劫持方式

Hub 嗅探、MAC 欺騙、MAC 沖刷、ARP 攻擊、DHCP 釣魚、DNS 劫持、CDN 入侵、路由器弱口令、路由器 CSRF、PPPoE 釣魚、PPPoE 釣魚、WiFi 弱口令、WiFi 偽熱點、WiFi 強制斷線、WLAN 基站釣魚

流量劫持會帶來什么危害?

不同的劫持方式,獲得的流量也有所差異。DNS 劫持,只能截獲通過域名發起的流量,直接使用 IP 地址的通信則不受影響;CDN 入侵,只有瀏覽網頁或下載時才有風險,其他場合則毫無問題;而網關被劫持,用戶所有流量都難逃魔掌。

Http協議下更容易發生流量劫持

1、http易致在線應用被劫持

網頁技術在近些年里有了很大的發展,但其底層協議始終沒有太大的改進 —— HTTP,一種使用了 20 多年古老協議。在HTTP 里,一切都是明文傳輸的,流量在途中可隨心所欲的被控制。而在線使用的 WebApp,流量里既有通信數據,又有程序的界面和代碼,劫持簡直輕而易舉。因此,劫持網頁流量成了各路黑客們的鍾愛,一種可在任意網頁發起 XSS 的入侵方式。

2、公共場合使用http,不登陸也會被劫持

在自己的設備上,大家都會記住各種賬號的登錄狀態,反正只有自己用,也沒什么大不了的。然而,在被劫持的網絡里,即使瀏覽再平常不過的網頁,或許一個悄無聲息的間諜腳本已暗藏其中,正偷偷訪問你那登錄着的網頁,操控起你的賬號了。

3、http狀態下,Cookie 記錄或瀏覽器自動填表單,都會導致賬號密碼被截獲

http狀態下,cookie記錄的都是明文的賬號密碼,被劫持泄露后,即使數量不多,也能通過社工獲取到用戶的更多信息,最終導致更嚴重的泄露。

4、HTTP 緩存投毒

HTTP這種簡單的純文本協議,幾乎沒有一種簽名機制,來驗證內容的真實性。即使頁面被篡改了,瀏覽器也完全無法得知,甚至連同注入的腳本也一塊緩存起來。但凡具備可執行的資源,都可以通過預加載帶毒的版本,將其提前緩存起來。

Https能避免流量劫持嗎?

能!但前提是必須用受信任的SSL證書。

不同於簡單的Http代理,HTTPS 服務需要權威CA機構頒發的SSL證書才算有效。自簽證書瀏覽器不認,而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時,大多用戶不明白是什么情況,就點了繼續,導致允許了黑客的偽證書,HTTPS 流量因此遭到劫持。

如果重要的賬戶網站遇到這種情況,無論如何都不該點擊繼續,否則大門鑰匙或許就落入黑客之手。

 

劫持也可以參考:使用Fiddler抓取HTTPS數據包原理

這里所說的權威CA機構是指已經通過WebTrust國際認證,根證書由微軟預置,受微軟等各類操作系統、主流移動設備和瀏覽器信任的CA機構;在中國還要附加一項,就是要拿到工信部許可的CA牌照;這樣的CA機構,才有權利簽發各類數字證書。

自簽證書是指不受信任的任意機構或個人,自己隨意簽發的證書,容易被黑客偽造替換。

全站Https的重要性

情況一:從http頁面跳轉訪問https頁面

事實上,在 PC 端上網很少有直接進入 HTTPS 網站的。例如支付寶網站,大多是從淘寶跳轉過來,而淘寶使用的仍是不安全的 HTTP 協議。如果在淘寶網的頁面里注入 XSS,屏蔽跳轉到 HTTPS 的頁面訪問,用 HTTP 取而代之,那么用戶也就永遠無法進入安全站點了。

盡管地址欄里沒有出現 HTTPS 的字樣,但域名看起來也是正確的,大多用戶都會認為不是釣魚網站,因此也就忽視了。因此,只要入口頁是不安全的,那么之后的頁面再安全也無濟於事。

情況二:http頁面重定向到https頁面

有一些用戶通過輸網址訪問的,他們輸入了 www.alipaly.com 就敲回車進入了。然而,瀏覽器並不知道這是一個 HTTPS 的站點,於是使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在,其唯一功能就是重定向到自己 HTTPS 站點上。劫持流量的中間人一旦發現有重定向到 HTTPS 站點的,於是攔下重定向的命令,自己去獲取重定向后的站點內容,然后再回復給用戶。於是,用戶始終都是在 HTTP 站點上訪問,自然就可以無限劫持了。

國外各大知名網站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術措施來保證用戶機密信息和交易安全,防止會話攻擊和中間人攻擊。

結語

從上面的各類劫持案例中,我們可以看出,Https是很有效的流量劫持防范措施,無論是網絡服務提供商還是廣大網民,為自己的帳戶安全和權益,都要形成使用https訪問網站的習慣和意識,重要的網站必定使用 HTTPS 協議,登陸時需格外留意!


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 HTTPS-各種加密方式 Istio 流量劫持過程 流量劫持的分層介紹 流量劫持能有多大危害? HTTPS-使用Fiddler抓取HTTPS數據包原理 HTTPS-使用Certbot自動配置Let’s Encrypt證書 WiFi流量劫持—— JS腳本緩存投毒 【前端安全】JavaScript防流量劫持 MitmProxy使用:http/https劫持腳本開發 WiFi流量劫持—— 瀏覽任意頁面即可中毒!
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM