导语:流量劫持面前,人人平等,连国字号网站也不例外……

1_600_441.jpg

由于没有上HTTPS,国内最大的政府网站疑似遭遇流量劫持,被恶意弹窗涉嫌色情的广告。

一份网上传播的文档截图中记录了整个事件经过。在这份《关于xx院app中h5页面弹出广告的专题会议纪要与诊断建议》中显示,5月10日晚上,有用户向xx日报反馈,在访问其运营维护的xx院APP/测一测时出现疑似色情广告。

经过紧急排查,当晚xx日报技术部排除源站数据被篡改的可能,初步诊断得出为当地运营商HTTP劫持所致。

第二天一早紧急会议讨论后,他们继续调查验证,主要包括两个方面:联系反馈用户复现问题场景;联合第三方安全公司排查源网站数据、平台是否遭到攻击、存在漏洞,排查CDN数据是否遭到劫持。

调研到的用户反馈情况看起来比较复杂,涉及江苏徐州、河南南阳、新疆克拉玛依三地,电信、移动的WiFi网络和移动4G网络,以及Android、苹果手机。出现广告的均为H5页面,主要集中在“测一测”活动页面上,也有APP里其它H5页面。

同时,第三方安全专家排查源网站、服务器、CDN未发现问题。综合多方排查,基本确定为用户当地运营商HTTP劫持导致H5页面被插入广告。

HTTP注入

从报告描述来看,这可能是目前网络劫持中非常盛行的HTTP注入。用户访问正常网站过程中,链路层面的某一方偷偷动了手脚,在网页的数据包中注入了广告弹窗代码。大家手机流量上网时经常能看到一个圆圆的流量球,显示你的剩余流量,这就是典型的HTTP注入行为。

HTTP注入的危害不止是弹个小广告窗口这么简单,它还可以被用作流量暗刷、投放病毒。记得一年前某地方运营商不知怎么接了个木马广告,这个木马带着Flash高危漏洞利用工具,没升级的电脑打一个准一个。就算你主动升级了,你安装的软件带着旧版Flash插件,也会中招。当时投放一轮,攻击代码的访问量超过千万独立用户,本地的英雄联盟游戏用户一片哀嚎,因为英雄联盟里正用着旧版Flash插件。

抓包验证

另外,我不知道大水有没有冲龙王庙,但如果这份报告是一家普通企业写的,恐怕他们是没法叫停劫持行为的。

虽然报告的诊断过程脉络清晰,有板有眼的,但它缺少了最关键的一环——抓包验证。所有的劫持行为,都可以在数据包层面观测到,也只有这个层面上才能作为证据。比如15年的一个京东案例中,腾讯安全的人抓包分析定位到搞小动作的路由,以图文并茂的形式把结果报给深圳电信,最后解决了问题。要是没实打实的证据,企业网站被劫持,运营商才不鸟人呢。

当然,里边也有可取之处。比如应对预案中讲到:“如定位为运营商劫持,将尽快启动APP及H5页面的HTTPS改造事宜”。希望报告是真的,相关方面能尽快落实,给出正面的宣传案例出来。

文档截图还是不放了,昨天早上有人微博发了被@来往之间(新浪微博CEO)转发,后来来总的微博都找不到了,我害怕…

源链接

Hacking more

...