疑似天津聯通黑產:記一次被流量劫持薅羊毛

時間  2019-11-22
標籤 疑似 天津 聯通 一次 流量 劫持 羊毛 简体版
原文   原文鏈接

不得不說,作開發這麼多年,流量劫持這個東西,大都只是:「據說過,沒見過,兩萬五千裏~」。此次結結實實被坑了一把,仍是頭一回。出來混,該經歷的逃不過。php

說來你不信

話說咱們團隊(座標天津)開發了個小網站。此事不足一表,且略過不提。就說這個網站App測試的時候,手機連上公司wifi訪問之,而後對着咱們的小網站戳戳點點,點着點着,竟然出了個這玩意:html

被劫持到砸金蛋頁面

頁面網址是:砸金蛋頁面 https://display.intdmp.com...前端

奇怪了,明明是咱們本身開發的網頁,怎麼會跳轉到代碼中並不存在的外鏈?我當時的第一反應是咱們本身的代碼或者代碼依賴有問題,然而通過排查,並無發現問題代碼。網絡

後來,因爲這個問題復現概率不高,就先擱置了下來。測試

直到近日,又一次復現了該問題,然而並無跳轉到以前砸金蛋頁面,而是最終跳轉到了:網站

被劫持到黃書頁面

nnd,太猖狂了,黃色小說都放出來了!加密

無獨有偶

上網一搜,發現咱們並非惟一的受害者:spa

被天津聯通薅羊毛了scala

使人惱火的廣告!運營商的鍋,工信部投訴,已經解決代理

還有知乎上的熱帖:

聯通寬帶劫持網頁,JS 彈窗廣告,該如何解決?

以及相關新聞:

中國聯通被訴流量劫持 透視背後黑色產業鏈

同時也據此料定,此事十有八九是天津聯通搞得鬼。

理由有三:

  1. 咱們的復現場景都是在鏈接到天津聯通寬帶下接的wifi環境中,使用過天津市不一樣地區的多款不一樣路由器。也就是說只要用的天津聯通寬帶,都基本能復現出這個問題。
  2. 網上搜到的基本都是天津用戶反饋,並且和咱們的推斷一致,是運營商的鍋。
  3. 手機4G網絡用戶或其餘地區用戶沒有此問題的反饋,咱們實測也沒能在其餘地區復現該問題。

現場勘查

那就簡單了,抓包唄,拿到案發現場!

由於急於找到問題緣由,咱們僅僅使用了Charles代理抓包,如今想來,應該使用更強大的Wireshark,能夠扒下流量劫持的底褲看清楚!後續若是用wireshark抓到再把抓到的包貼出來。

不過Charles也足以保留現場,讓問題見於水面!

因爲此事聯通作的十分露骨,很快咱們就抓包成功,一睹以下:

劫持現場

能夠看到,在訪問咱們的主頁(測試環境)時(你們能夠自行訪問下,看看正確的返回內容),沒有返回預期內容,而是返回了這樣一段html:

<html><!-- 60 -->
    <head><meta charset="utf-8"><meta name="viewport" content="initial-scale=1.0,user-scalable=no,maximum-scale=1,width=device-width"/></head>
    <script language=JScript><!-- function killErrors(){return true;} window.onerror=killErrors; --></script><frameset rows="*,0">
    <frame src="http://su.qichexin.com/s/tji2.html" noresize><frame src="" noresize></frameset>
</html>
複製代碼

相應的返回頭http header也明顯不對,一看就是爲了抹除證據僞造的,沒有任何trace來track。

最終跳轉

能夠看到,通過一系列各類形式的跳轉,才最終把小黃文帶了出來。本人以前是作海外互聯網廣告的,因此對抓包中的跳轉過程比較熟悉,之因此要經歷不少http跳轉,是要爲第三方或網盟確認一次有效的轉化跳轉來做爲將來廣告主爲展現付費的數據參考。所以,這其中必有一條隱祕的黑產無疑,他們經過隨機地、偶發性地劫持流量,然後將這些劫持的流量以必定的價格販售,攫取利益,並造成了一個個有組織的小型產業鏈條。

好吧這也許在國內不算什麼。然而讓我震驚的是,竟然能夠無恥到爲色情文學導量,真可謂臉皮共帽子一色,底線與底褲齊飛。

抓包文件此處領取:百度網盤chls文件

有恨無人省

儘管證據已經拿到,此事依然讓人無奈。你搞個色情文學,開發蜀黍都很差意思給本身的孩子看本身作的網站,萬一彈出色情文學,豈不尷尬!

此外,解決方案上:

技術上,若是不採用https,這種劫持很難避免,由於是整個http層面(應用層)的攔截,前端頁面想繞過,須要改的東西太多。因此,上https就行了。不過前兩天咱們測試反饋,nnd上了https後也被劫持了,這個...有可能嗎?百思不得其解...https有非對稱加密加持,專門用於防止中間人篡改,聯通這tm也能繞過?因爲沒能保留現場,因此究竟如何不得而知,姑且當作看花眼了吧(或者是https中內嵌了http流量致使的)。總之,**上https!上https!上https!**重要的事情說三遍。

法理上,其實也怕冤枉天津聯通(就算是天津聯通,如知乎上所說,必定也是內部有人做祟,聯通不必賺這點黑錢),人家派公安局來抓腫麼辦;其次,投訴維權能夠,可是能見結果很難。

不是一我的在戰鬥

遇到此坑,相信本身不是一我的在戰鬥。因此在此也但願各位技術大牛看官幫忙,一是求教,技術上若是不採用https,有沒有相對簡單可行的手段解決,避免被劫持,或者來談談這種流量劫持技術的原理;二是能夠幫忙轉發,曝光此事。本文斷不附帶任何與問題無關的推廣內容。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程