谈谈流量劫持的危害
2014-06-10 09:55:33   来源：互联网   评论：0 点击：

FireFox 浏览器存储离线文件时，会有用户交互提示，提醒用户是否有这必要。

 

也许不久后，框架页面不再被离线储存所接受，新标准随时都有可能改变。但 HTTP 缓存投毒是协议栈的缺陷，因此很难防范，下一篇会发现实际入侵效果非常理想。

使用 HTTPS 能否避免劫持？

如果从密码学的角度来说，使用了 SSL 加密的数据确实难以破解，更不用谈修改了。

然而，惹不起但总躲得起吧。虽然无法破解，但流量仍掌握在自己手中，走哪条路还是由我说的算，完全可以绕过你。

偷换证书

不同于简单的 HTTP 代理，HTTPS 服务需要一个权威机构认定的证书才算有效。自己随便签发的证书，显然是没有说服力的，HTTPS 客户端因此会质疑。

在过去，这并不怎么影响使用过程，无非弹出一个无效的证书之类的提示框。大多用户并不明白是什么情况，就点了继续，导致允许了黑客的伪证书，HTTPS 流量因此遭到劫持。

在经历越来越多的入侵事件之后，人们逐渐意识到，不能再轻易的让用户接受不信任的证书了。如今，主流浏览器对此都会给予严重的警告提示，避免用户进入伪安全站点。

如果重要的账户网站遇到这种情况，无论如何都不该继续，否则大门钥匙或许就落入黑客之手。

因此，这种偷换证书的劫持，在安全意识越来越高的今天，很难再发挥实效了。我们需要一个更隐蔽的方式来躲开加密数据。

过滤 HTTPS 跳转

事实上，在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站，大多是从淘宝跳转过来，而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS，屏蔽对 HTTPS 的页面访问，用 HTTP 取而代之，那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。

因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。

当然也有一些用户通过输网址访问的，他们输入了 www.alipaly.com 就敲回车进入了。然而，浏览器并不知道这是一个 HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在，其唯一功能就是重定向到自己 HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到 HTTPS 站点的，显然不愿意让用户走这条不受自己控制的路。于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在 HTTP 站点上访问，自然就可以无限劫持了。

搜索引擎劫持

事实上，HTTPS 站点还有个很大的来源 —— 搜索引擎。遗憾的是，国产搜索引擎几乎都不提供 HTTPS 服务。因此在不安全的网络里，搜索结果是不具备任何权威的。

防范措施：重要的网站必定使用 HTTPS 协议，登陆时需格外留意。

 

国外的大型网站几乎都提供 HTTPS 服务，甚至是默认的标准。相比国内只有少数重要的服务才使用，绝大多数的信息都是在明文传输。这是为了方便什么来着，你猜。

流量劫持能否控制我电脑？

如果不考虑一些浏览器安全漏洞，理论上说网页与系统是完全隔离的，因此无需担心系统受到影响。

钓鱼插件

有时为了能让网页获得更多的在线能力，安装插件必不可少，例如支付控件、在线播放器等等。在方便使用的同时，也埋下了安全隐患。

如果是一些小网站强迫用户安装插件的，大家几乎都是置之不理。但若一些正规的大网站，提示用户缺少某些插件，并且配上一些专业的提示，相信大多都会选择安装。而这一切，通过被注入的攻击脚本完全能办到。

不过，正规的插件都是有完整的数字签名的，而伪造的很难躲过浏览器的验证，会出现各种安全提示。因此，攻击者往往使用直接下载的方式，提示用户保存并打开安装包。

页面提权

现在越来越多的应用程序，选择使用内嵌网页来简化界面的开发，在移动设备上更是普遍。

通常为了能让页面和客户端交互，赋予一些本地程序的接口供调用，因此具有了较高的权限。不过，正常情况下嵌入的都是受白名单限制的可信页面，因此不存在安全隐患。

然而在被劫持的网络里，一切明文传输的数据都不再具备可信度。同样的脚本注入，就能获得额外的权限了。

一些带有缺陷的系统，攻击脚本甚至能获得出乎意料的能力。通过之前提到的网页缓存投毒，这颗埋下的地雷随时都有可能触发。

下载程序

即使上网从不安装插件，但是下载程序还是经常需要的。由于大多数的下载网站，使用的都是 HTTP 流量，因此劫持者能轻易的修改可执行文件，将其感染上病毒或木马，甚至完全替换成另一个程序。

用户总认为从官网上下载的肯定没问题，于是就毫无顾虑的打开了。这时，入侵的不再是浏览器环境，而是能控制整个系统了。

防范措施：如果是从浏览器里下载的程序，留意是否具有数字签名，正规的厂商几乎都会提供。如果想试用一些来路不明的小程序，保存到虚拟机里使用就放心多了。

 

未来 SPDY 技术普及的时候，就再不用担心网页劫持这些事。它将 HTTP 协议封装在加密的流量里传输，想劫持一个普通网页都很困难了。

结尾

暂时就说到这。事实上类似 XSS 的攻击方式还有很多，这里只谈了一些能和流量劫持配合使用的。利用上一篇讲述的各种劫持途径，配合本文提到的入侵方式，可以劫持不少用户了。下一篇，将演示如何利用这些原理，发起实战攻击。