|
|
|
联系客服020-83701501

有效抵制流量劫持--全站HTTPS是王道!

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  网络安全是现在网络时代十分重视的一点,很多时候你会发现自己经营的网站会跳到一个钓鱼网站上面,还有常见的一些广告弹窗,其实这都是发生了流量劫持,页面被篡改、账号密码被盗取等危害随之而来!

有效抵制流量劫持--全站HTTPS是王道!

  Http协议更容易发生流量劫持

  1、http易致在线应用被劫持

  网页技术在近些年里有了很大的发展,但其底层协议HTTP始终没有太大的改进,HTTP是一种使用了20 多年古老协议。在HTTP 里,一切都是明文传输的,流量在途中可随心所欲的被控制。而在线使用的WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。因此,劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起XSS的入侵方式。

  2、HTTP 缓存投毒

  HTTP这种简单的纯文本协议,几乎没有一种签名机制,来验证内容的真实性。即使页面被篡改了,浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源,都可以通过预加载带毒的版本,将其提前缓存起来。

  3、 公共场合使用http,不登陆也会被劫持

  在自己的设备上,大家都会记住各种账号的登录状态,反正只有自己用,也没什么大不了的。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页,操控起你的账号了。

  4、http状态下Cookie 记录或浏览器自动填表单,都会导致账号密码被截获

  http状态下,cookie记录的都是明文的账号密码,被劫持泄露后,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。

  网站实现Https访问能有效避免流量劫持

  网站实现Https访问能有效避免流量劫持,但前提是必须用受信任SSL证书。不同于简单的Http代理,HTTPS 服务需要权威CA机构,颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,不收信任的HTTPS 流量因此遭到劫持。

  全站实现Https访问的重要性

  1、从http页面跳转访问https页面

  事实上,在 PC 端上网很少有直接进入HTTPS 网站的。如果首先进入的网站是使用不安全的HTTP 协议。那么在该网站的页面里注入XSS,屏蔽跳转到 HTTPS 的页面访问,用HTTP 取而代之,那么用户也就永远无法进入安全站点了。尽管地址栏里没有出现 HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。

  因此,只要入口页是不安全的,那么之后的页面再安全也无济于事。

  2、http页面重定向到https页面

  有一些用户通过输网址访问的,他们输入了www.example.com 就敲回车进入了。然而,浏览器并不知道这是一个HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个HTTP 版的页面的确也存在,其唯一功能就是重定向到自己HTTPS 站点上。

  劫持流量的中间人一旦发现有重定向到HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在HTTP 站点上访问,自然就可以无限劫持了。

  HTTP与HTTPS只是一个“s”的一步之遥,却是“safe”(安全)的一念天堂。没有全站连接HTTPS,你很可能被“劫持”,这绝不是危言耸听。

  国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Always on SSL(全站https)技术措施来保证用户机密信息和交易安全,防止会话攻击和中间人攻击。

数安新闻+更多

证书相关+更多