`
WS_Daniel
  • 浏览: 24403 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

HTTPS 能否避免流量劫持?

 
阅读更多
近日,看了一篇关于流量劫持的文章《安全科普:流量劫持能有多大危害?》,作者EtherDream以图文并茂的形式详细讲解了流量劫持及相关知识。“在如今这个讲究跨平台、体验好,并有云端支持的年代,WebApp越来越火热。各种应用纷纷移植成网页版,一些甚至替代了客户端。同时,也造就了流量劫持前所未有的势头。”小编总结,这里提到的流量劫持危害,大多跟Http明文传输协议的薄弱有关系。
 
我们来看看流量劫持会带来什么危害?
不同的劫持方式,获得的流量也有所差异。DNS 劫持,只能截获通过域名发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵,只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持,用户所有流量都难逃魔掌。
 
1http易致在线应用被劫持
网页技术在近些年里有了很大的发展,但其底层协议始终没有太大的改进—— HTTP,一种使用了 20 多年古老协议。在 HTTP 里,一切都是明文传输的,流量在途中可随心所欲的被控制。而在线使用的WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。因此,劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起 XSS 的入侵方式。
2、公共场合使用http,不登陆也会被劫持
在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页,操控起你的账号了。
3http状态下,Cookie 记录或浏览器自动填表单,都会导致账号密码被截获
http状态下,cookie记录的都是明文的账号密码,被劫持泄露后,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
4HTTP 缓存投毒
HTTP这种简单的纯文本协议,几乎没有一种签名机制,来验证内容的真实性。即使页面被篡改了,浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。
5Https能避免劫持吗?
能!但前提是必须用受信任的SSL证书
不同于简单的Http代理,HTTPS 服务需要权威CA机构(如 沃通CA)颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,HTTPS 流量因此遭到劫持。
如果重要的账户网站遇到这种情况,无论如何都不该点击继续,否则大门钥匙或许就落入黑客之手。

 
                              
 
这里所说的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书。
自签证书是指不受信任的任意机构或个人,自己随意签发的证书,容易被黑客伪造替换。
 
6、全站Https的重要性
情况一:从http页面跳转访问https页面
事实上,在 PC 端上网很少有直接进入HTTPS 网站的。例如支付宝网站,大多是从淘宝跳转过来,而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS,屏蔽跳转到 HTTPS 的页面访问,用 HTTP 取而代之,那么用户也就永远无法进入安全站点了。


  
 
尽管地址栏里没有出现HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。
因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。
情况二:http页面重定向到https页面
有一些用户通过输网址访问的,他们输入了 阿里play 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。
劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。


  
 
国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Alwayson SSL(全站https)技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。


  
 
7、搜索引擎劫持
事实上,HTTPS 站点还有个很大的来源——搜索引擎。遗憾的是,国产搜索引擎几乎都不提供 HTTPS 服务。
谷歌已开始提供https加密搜索方式。Google在官方博客介绍说,普通的HTTP浏览是不安全的,用户和服务器之间的通讯会被第三方监听和干扰,对于Google来说,你在Google搜索的词语会被第三方截获,如果第三方不希望你在Google搜索这个词语,还可以通过技术手段阻止用户的搜索行为。使用HTTPS的Google搜索中,用户搜索的信息将无法被第三方获取,也不会出现数据泄漏的问题,搜索结果页面也不会被干扰或篡改。
 
 
结语
从上面的各类劫持案例中,我们可以看出,Https是很有效的流量劫持防范措施,无论是网络服务提供商还是广大网民,为咱自己的帐户安全和权益,都要形成使用https访问网站的习惯和意识,重要的网站必定使用 HTTPS 协议,登陆时需格外留意!
  • 大小: 67.8 KB
  • 大小: 25.6 KB
  • 大小: 19.3 KB
  • 大小: 48.7 KB
分享到:
评论

相关推荐

    https劫持代理和数据包劫持代理例子程序

    在网络安全领域,HTTPS(HyperText ...同时,也提醒我们在日常网络活动中,务必保持警惕,使用正规的网络服务,及时更新系统和软件,避免连接不可信的公共Wi-Fi,并使用强密码及双因素认证等措施来保护自己的信息安全。

    劫持教程最新的劫持程序

    【标题】:“劫持教程最新的劫持程序” 在IT安全领域,"劫持"通常指的是网络数据包的非法拦截或篡改,这涉及到网络安全的重要概念。劫持教程可能涵盖多种技术,包括DNS劫持、HTTP劫持、浏览器劫持等。DNS劫持是通过...

    DHCP欺骗劫持与防御策略

    6. **教育用户**:让用户了解DHCP欺骗和劫持的风险,提高他们的网络安全意识,避免轻易信任非官方的网络配置信息。 7. **启用DHCP服务器验证**:DHCPv6引入了服务器身份验证机制,通过使用密钥交换来确认服务器的...

    ARP域名劫持工具

    ARP是TCP/IP协议栈中的一个关键组件,其主要功能是将IP地址映射为对应的物理MAC地址,以便数据能在网络中正确传输。当攻击者进行ARP域名劫持时,他们会欺骗局域网内的其他设备,将自身的MAC地址错误地关联到某个特定...

    linux下实现域名劫持

    这里可能需要利用原始套接字(raw sockets)来模拟UDP通信,因为libpcap通常只用于捕获而不能发送数据包。 5. **处理异常和安全考虑**:在实施域名劫持时,必须确保合法的DNS请求不受影响,避免引起网络故障。此外...

    劫持系统IpHlpApi.dll.zip

    对于IpHlpApi.dll,如果被劫持,可能导致网络配置被篡改、流量被监控、数据被窃取等严重后果。 首先,我们来详细了解一下IpHlpApi.dll的功能。这个库包含了多个API函数,例如GetAdaptersInfo、GetNetworkParams、...

    淘宝客劫持插件功能演示

    这个过程在技术上被称为“流量劫持”。 在"淘宝客劫持插件功能演示"中,我们可能看到的内容包括: 1. **安装与激活**:插件的安装通常通过浏览器的扩展商店或者直接下载源码后手动加载到浏览器中。一旦激活,插件...

    如何防止路由器被劫持 防止路由器被劫持方法【详情】.docx

    总之,保护路由器免受劫持需要你采取一系列的防范措施,包括但不限于更新密码、加强加密、设置MAC地址过滤、安装安全软件以及保持警惕。通过这些方法,你可以大大提高你的网络安全,减少个人信息泄露的风险。

    百度劫持关键词排名首页代码

    这种技术通常涉及到对特定关键词的操纵,以使目标网页在搜索这些关键词时能够出现在首页,从而吸引更多的流量和潜在客户。 在SEO领域,关键词是极其重要的元素,它们是用户在搜索引擎中输入的词语或短语,用于寻找...

    黑雨淘宝客PID劫持插件

    然而,值得注意的是,PID劫持虽然能提升推广者的收益,但也存在争议。因为这种行为可能会侵犯用户隐私,违背公平竞争原则,甚至可能违反淘宝客平台的规则。因此,在使用此类插件时,用户需要谨慎评估风险,确保操作...

    DNS路由器劫持网站代码生成器

    DNS路由器劫持是一种网络技术,通常涉及篡改网络设备(如路由器)的DNS设置,以重定向用户流量至非预期的服务器。这种行为在合法情况下可能用于教学、研究或网络故障排查,但在非法情况下,可能会被恶意攻击者利用来...

    activity劫持

    在Android开发中,"Activity劫持"是一种恶意行为,攻击者通过特定手段干扰正常Activity的启动过程,篡改用户界面或者获取敏感信息。本篇将深入解析Activity劫持的概念、常见手法以及如何进行防范。 一、Activity...

    域名劫持工具

    3. **安全控制**:确保只对选定的用户或网络段实施劫持,避免影响其他用户。 4. **临时或永久重定向**:根据需求选择短暂的测试重定向或长期的页面替换。 5. **易用性**:提供用户友好的界面,简化操作流程。 然而...

    恶性木马专杀工具解决顽固病毒木马浏览器首页劫持问题

    再来看“流量或首页劫持问题”。这是许多恶意软件惯用的手段之一,通过篡改浏览器设置,将用户的默认首页或搜索引擎改为黑客指定的网址,以此来推送广告、收集用户数据或进一步传播恶意软件。这种行为不仅影响用户的...

    LSP spi 劫持

    未授权的LSP劫持可能导致隐私泄露、数据篡改以及整个系统的不稳定。因此,对于开发和使用这类技术,必须遵循严格的法规和道德准则,确保不会滥用或危害他人的网络安全。 **备份与未来使用:** 上传这个LSP SPI劫持...

    反劫持软件

    这些软件设计的主要目的是保护用户的网络浏览体验,防止未经授权的第三方篡改或劫持DNS(Domain Name System)查询,从而避免被导向恶意网站或广告页面。标题提到的“反劫持软件”就是这样的一个工具,它通过优化和...

    ws2_32劫持

    【描述】:当ws2_32劫持发生时,攻击者通常会通过编写特定的程序(如压缩包中的ws2_32.cpp)来替换或修改系统中原有的ws2_32.dll文件,以实现诸如监听网络流量、拦截敏感数据、控制网络行为等目的。这种攻击方式常...

    TCP三次握手及会话劫持原理与实例

    TCP三次握手是建立可靠连接的关键步骤,通过确保数据的可靠传输和避免旧的连接请求造成混乱。而会话劫持则是针对TCP连接的一种攻击手段,攻击者通过各种技术手段获取或预测合法用户的会话信息,进而冒充合法用户与...

    PHP寄生虫繁殖劫持程序V3.0

    这种行为通常被用来进行黑帽SEO(搜索引擎优化)操作,以获取不正当的流量或商业利益。 首先,我们需要理解"寄生虫"的概念。在网络安全领域,寄生虫通常指的是能够自我复制并利用目标系统漏洞的恶意软件。PHP寄生虫...

    路由劫持是怎么回事 如何解救被劫持的路由器【详解】.docx

    【路由劫持】是指网络数据包在传输过程中被非法篡改或操纵,通常是由于路由器配置错误、黑客攻击或恶意软件导致。这种情况可能导致网络性能下降、数据安全风险增加,甚至整个网络瘫痪。以下是对路由劫持的详细解释及...

Global site tag (gtag.js) - Google Analytics