Подозревается черное производство Tianjin Unicom: вспомните время, когда трафик угоняли, чтобы разбить шерсть

задняя часть Безопасность JavaScript Charles Wireshark

Должен сказать, что после стольких лет развития угон трафика в основном просто: «Я слышал об этом, я не видел, 25 000 миль ~». Это был первый раз, когда я действительно был в тупике на этот раз. Выходи смешивать, опыт не может убежать.

ты мне не веришь

Другими словами, наша команда (координируемая в Тяньцзине) разработала небольшой веб-сайт. Этого недостаточно, чтобы перечислить, и не будет упоминаться. Скажем так, когда приложение этого веб-сайта тестировалось, мобильный телефон был подключен к сети Wi-Fi компании для доступа к нему, а затем ткнул и нажал на наш небольшой веб-сайт, и получилось вот что:

被劫持到砸金蛋页面

URL-адрес страницы:Перейдите на страницу золотого яйца https://display.intdmp.com....

Странный,Очевидно, что это веб-страница, разработанная нами самими, как мы можем перейти к внешней ссылке, которой нет в коде?? Моей первой реакцией в то время было то, что возникла проблема с нашим собственным кодом или зависимостями кода, но после расследования проблемного кода обнаружено не было.

Позже, из-за малой вероятности повторения этой проблемы, ее отложили.

До недавнего времени проблема повторялась снова, но вместо того, чтобы перейти на предыдущую страницу с золотым яйцом, она, наконец, перешла на:

被劫持到黄书页面

ннд, это такой бред, все порнографические романы выпущены!

случайно

Поиск в Интернете показал, что мы были не единственными жертвами:

Его разбила компания Tianjin Unicom.

Раздражающая реклама! Проблема оператора, жалоба Минпроминформа, решена

На Чжиху также есть горячие посты:

Широкополосный доступ Unicom перехватывает веб-страницы и всплывающую рекламу JS, как их решить?

И сопутствующие новости:

China Unicom подали в суд за захват трафика

В то же время также ожидается, что причиной этого, вероятно, является Tianjin Unicom.

Есть три причины:

  1. Все наши сцены воспроизведения подключены к широкополосной сети Wi-Fi Tianjin Unicom и используют множество различных маршрутизаторов в разных районах Тяньцзиня. То есть, пока используется широкополосный доступ Tianjin Unicom, эта проблема в основном может быть воспроизведена.
  2. Онлайн-поиск в основном основан на отзывах пользователей в Тяньцзине, и он согласуется с нашим выводом о вине оператора.
  3. Пользователи мобильной сети 4G или пользователи в других регионах не имеют отзывов об этой проблеме, и нам не удалось воспроизвести проблему в других регионах.

Расследование на месте

Это просто, хватайте сумку и отправляйтесь на место преступления!

Так как нам не терпелось найти причину проблемы, мы использовали для перехвата пакетов только прокси-сервер Charles.Если подумать, то стоит использовать более мощный Wireshark, который может снять трусы перехвата трафика и ясно видеть! Если вы используете wireshark для его захвата позже, опубликуйте захваченные пакеты.

Но Чарльза достаточно, чтобы сохранить сцену и позволить проблеме быть замеченной на воде!

Поскольку China Unicom была очень откровенна в этом вопросе, нам вскоре удалось захватить пакет следующим образом:

劫持现场

Как видите, при посещении нашегоГлавная (тестовая среда)Когда (вы можете посетить его самостоятельно, чтобы увидеть правильное возвращаемое содержимое), вместо того, чтобы возвращать ожидаемое содержимое, он возвращает такой фрагмент html:

<html><!-- 60 -->
    <head><meta charset="utf-8"><meta name="viewport" content="initial-scale=1.0,user-scalable=no,maximum-scale=1,width=device-width"/></head>
    <script language=JScript><!-- function killErrors(){return true;} window.onerror=killErrors; --></script><frameset rows="*,0">
    <frame src="http://su.qichexin.com/s/tji2.html" noresize><frame src="" noresize></frameset>
</html>

Соответствующий HTTP-заголовок возврата также явно неверен: на первый взгляд, он подделан, чтобы стереть улики, и нет следов, которые можно было бы отследить.

最终跳转

Видно, что после серии прыжков в различных формах Сяо Хуанвэнь наконец-то вывели наружу. Раньше я занимался зарубежной интернет-рекламой, поэтому я знаком с процессом перехода при захвате пакетов. Причина, по которой мне приходится выполнять множество переходов по http, заключается в том, чтобы подтвердить эффективный переход для третьей стороны или сетевого альянса. как будущий рекламодатель Справочник данных по оплаченным показам. Следовательно, должна быть тайная черная индустрия: они захватывают трафик случайным и спорадическим образом, а затем продают этот угнанный трафик по определенной цене, получают прибыль и образуют организованную сеть мелких производств.

Ну, может быть, это не имеет большого значения в стране. Однако что меня потрясло, так это то, что это может быть достаточно бесстыдно, чтобы быть руководством для порнографии.

Файл захвата получается здесь:chls-файл сетевого диска Baidu

Ненавижу никого, чтобы спасти

Хотя доказательства были получены, этот вопрос все еще разочаровывает. Вам стыдно показывать своим детям свой сайт, если вы делаете порнографическую литературу и развиваете сорго, и будет неловко, если всплывет порнографическая литература!

Также по решению:

Технически, если https не используется, такого перехвата сложно избежать, потому что это перехват всего http-слоя (прикладного уровня), и там слишком много вещей, которые нужно изменить, если фронтенд-страница захочет чтобы обойти это. так,Просто зайди на https. Однако два дня назад мы протестировали обратную связь, и nnd также был взломан после перехода на https.Возможно ли это? Я не могу понять это... https наделен асимметричным шифрованием, которое специально используется для предотвращения взлома посредниками.Может ли China Unicom также обойти этот тм? Поскольку я не смог сохранить сцену, я не знаю точно, как это произошло, поэтому давайте просто притворимся, что это бесполезный трюк (или это вызвано встроенным http-трафиком в https). Короче, ** на https! Переходи на https! Переходи на https! ** Важные вещи, сказанные трижды.

Юридически я на самом деле боюсь обидеть Tianjin Unicom (даже если это Tianjin Unicom, как упоминалось на Zhihu, должны быть какие-то внутренние проблемы, Unicom не нужно делать такие черные деньги), что им делать, если они отправят Public Бюро безопасности, чтобы арестовать опухшие, во-вторых, жаловаться Можно защитить права, но трудно увидеть результаты.

не сражаться в одиночку

Столкнувшись с этой ямой, я верю, что сражаюсь не один. Поэтому я также надеюсь, что все технические специалисты могут помочь.Одним из них является спросить совета.Если https не используется технически, есть ли относительно простое и осуществимое решение, чтобы избежать угона, или рассказать о принципе этой технологии угона трафика ; два Это может помочь направить и разоблачить этот вопрос. Эта статья не сопровождает какой-либо рекламный контент, не связанный с вопросом.

Категории