嚇skr人了！網站莫名跳轉，真相居然是這樣……

伴隨着互聯網發展，你們都習慣了在瀏覽器地址裏輸入HTTP格式的網址。1989年，世界上第一個HTTP（HyperText Transfer Protocol超文本傳輸協議）誕生，早期HTTP設計出來只是爲了考慮到用戶的便利性，HTTP傳輸全部的數據都是以明文傳輸，信息數據在互聯網中處於「0防禦」狀態，HTTP傳輸存在着很是嚴重的安全漏洞，這個最初的訪問協議已經跟不上互聯網時代發展的步伐了。

 

不知道你有沒有過這種經歷，刷微博，瀏覽新聞，下面提示「領取紅包」、「真人侍寵」或一些大保健腎虧廣告；

下載某應用，不管是手機端仍是 PC 端，下載到本地都會變成了UC、234五、瑞星；

打開的是A網站，莫名其妙卻被跳轉至B網站，多爲「黑五類廣告」。你覺得本身電腦中病毒了？不，實際上是你的流量被劫持了。

各種劫持效果圖

流量劫持是一種企業和我的經常會遇到的網絡安全問題，這種網絡劫持不但危害了企業信息安全爲企業帶來損失，更會影響用戶體驗。用戶信息很容易被泄露，帳號密碼通過技術處理盡收眼底。

7月18日，國內某大型門戶網站遭劫持，訪問新聞首頁自動跳轉到博彩網站；鬧得最大的仍是2017年5月10日晚上，國字號某App遭流量劫持。該App某H5頁面被植入色情內容廣告，後經排查「基本肯定爲用戶當地運營商HTTP劫持致使H5頁面被插入廣告……」

流量劫持從技術角度分析主要包括DNS劫持和鏈路劫持，從劫持對象來區分主要分爲運營商劫持和企業/我的劫持。

因爲HTTP明文傳輸協議的缺陷，是致使流量劫持的重要緣由。同時中間內容劫持的利益巨大，因此用戶隱私泄露的風險很是高。HTTP協議沒法加密數據，全部通訊數據都在網絡中明文「裸奔」。經過網絡的嗅探設備及一些技術手段，就可還原HTTP報文內容。

主要危害體現如下四點：

一、HTTP易致在線應用被劫持

在線使用的 WebApp，流量裏既有通訊數據，又有程序的界面和代碼，劫持簡直垂手可得。所以，劫持網頁流量成了各路黑客們的鐘愛，一種可在任意網頁發起 XSS 的入侵方式。

二、公共場合使用HTTP，不登錄也會被劫持

在本身的設備上，你們都會記住各類帳號的登陸狀態，反正只有本身用，也沒什麼大不了的。然而，在被劫持的網絡裏，即便瀏覽再日常不過的網頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登陸着的網頁，操控起你的帳號了。

三、HTTP狀態下，Cookie 記錄或瀏覽器自動填表單，都會致使帳號密碼被截獲

HTTP狀態下，cookie記錄的都是明文的帳號密碼，被劫持泄露後，即便數量很少，也能經過社工獲取到用戶的更多信息，最終致使更嚴重的泄露。

四、HTTP 緩存投毒

HTTP這種簡單的純文本協議，幾乎沒有一種簽名機制，來驗證內容的真實性。即便頁面被篡改了，瀏覽器也徹底沒法得知，甚至連同注入的腳本也一塊緩存起來。但凡具有可執行的資源，均可以經過預加載帶毒的版本，將其提早緩存起來。

 

企業如何避免流量劫持？

對於企業而言，選擇切換到HTTPS是當前主流的手段，若是從密碼學的角度來講，使用了 SSL 加密的數據確實難以破解，更不用談修改了。

做爲以安全爲目標的HTTP通道， HTTPS被認爲是HTTP的安全版，即在應用層又加了SSL協議，會對數據進行加密。在數據傳輸的過程當中提供身份驗證與數據加密通信措施，那運營商劫持的亂象就能夠徹底被杜絕。

選擇受信任的SSL證書

不一樣於簡單的 HTTP 代理，HTTPS 服務須要權威權威CA機構認定頒發的證書纔算有效。本身隨便籤發的證書，顯然是沒有說服力的，HTTPS 客戶端所以會質疑。而遇到「此網站安全證書存在問題」的警告時，大多用戶不明白是什麼狀況，就點了繼續，致使容許了黑客的僞證書，HTTPS 流量所以遭到劫持。

若是重要的帳戶網站遇到這種狀況，不管如何都不應點擊繼續，不然大門鑰匙或許就落入黑客之手。

 

全站HTTPS的重要性

狀況一：從HTTP頁面跳轉訪問HTTPS頁面

事實上，在 PC 端上網不多有直接進入HTTPS 網站的。例如支付寶網站，大可能是從淘寶跳轉過來，而淘寶使用的還是不安全的 HTTP 協議。若是在淘寶網的頁面裏注入 XSS，屏蔽跳轉到 HTTPS 的頁面訪問，用 HTTP 取而代之，那麼用戶也就永遠沒法進入安全站點了。

儘管地址欄裏沒有出現HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認爲不是釣魚網站，所以也就忽視了。

所以，只要入口頁是不安全的，那麼以後的頁面再安全也無濟於事。

 

狀況二：HTTP頁面重定向到HTTPS頁面

有一些用戶經過輸網址訪問的，他們輸入了 http://www.alipaly.com 就敲回車進入了。然而，瀏覽器並不知道這是一個 HTTPS 的站點，因而使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在，其惟一功能就是重定向到本身 HTTPS 站點上。

劫持流量的中間人一旦發現有重定向到 HTTPS 站點的，因而攔下重定向的命令，本身去獲取重定向後的站點內容，而後再回復給用戶。因而，用戶始終都是在 HTTP 站點上訪問，天然就能夠無限劫持了。

國外各大知名網站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都經過全站HTTPS技術措施來保證用戶機密信息和交易安全，防止會話攻擊和中間人攻擊。

不少國內廠商也在這方面作了努力，支付寶是國內較早支持了全站HTTPS的網站，淘寶顯示在登陸、結算、訂單等頁面加密，後升級爲全站加密。百度等國內互聯網巨頭也陸續完成了全站HTTPS加密。

 

不想被用戶拋棄？

趕忙升級HTTPS對流量劫持說No！

針對部署升級HTTPS加密的技術難點和申請證書的繁多流程，TrustAsia（亞洲誠信）提供全球可信的SSL證書（EV SSL證書、OVSSL證書、 DV SSL證書），擁有基於MPKI證書管理、全站加密解決方案、MySSL安全評估等網絡安全解決方案，聚焦網絡傳輸安全，爲您提供全方位的7*24小時全天候技術支持服務，作到安全與極速的平衡。助您輕鬆無憂升級HTTPS加密！