V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
heiher
V2EX  ›  程序员

玩了一下 TCP 会话劫持,HTTP 太不安全了

  •  
  •   heiher ·
    heiher · 2014-06-23 10:37:39 +08:00 · 15431 次点击
    这是一个创建于 3814 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天也玩了一下TCP会话劫持,很容易就能在百度搜索结果中插入了一条自己的结果,当然也可以调整原来的搜索结果的排序啦。还玩了一下将某个登录页面中用户名和密码额外POST一份到自己的服务器上。在被劫持的后觉得真的只要想得到就能做的到的。

    现在觉得某些 ISP 仅是向用户展示一些广告啥的已经很善良了。
    第 1 条附言  ·  2014-06-23 14:03:54 +08:00
    演示视频:http://hev.cc/sftp/files/hijack.mov
    39 条回复    2014-10-23 18:11:48 +08:00
    9
        1
    9  
       2014-06-23 10:54:05 +08:00
    另一种 斯德哥尔摩效应 么
    bryancat
        2
    bryancat  
       2014-06-23 10:54:24 +08:00
    医生也有机会随意偷窥患者的隐私,但他们会么?
    说到底是职业道德和制度监管问题。
    heiher
        3
    heiher  
    OP
       2014-06-23 10:56:23 +08:00
    @bryancat 不全放心呀
    chijiao
        4
    chijiao  
       2014-06-23 10:56:34 +08:00
    能不能介绍下具体怎么搞的
    heiher
        5
    heiher  
    OP
       2014-06-23 10:57:39 +08:00
    @9 这倒没有,只是想说可能背后并非表面上看到的那么简单。
    heiher
        6
    heiher  
    OP
       2014-06-23 11:00:50 +08:00
    这让我想起我买车后没过几天就有骗子给我打电话了,车子的相关信息门清。显然是某个节点上信息被人卖了,ISP自己可能并不干这事,但用户的流量数据会不会也被卖了呢?卖了之后会怎样?
    doskoi
        7
    doskoi  
       2014-06-23 11:02:04 +08:00
    那是犯罪,展示广告属于擦边球了。

    《计算机信息网络国际联网安全保护管理办法(公安部令第33号)》
    第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
    (三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
    heiher
        8
    heiher  
    OP
       2014-06-23 11:03:05 +08:00
    @chijiao 劫持会话、替换页面部分内容。
    heiher
        9
    heiher  
    OP
       2014-06-23 11:05:27 +08:00
    @doskoi 按照这个管理办法,展示广告也命中了第六条第三点了。
    est
        10
    est  
       2014-06-23 11:09:57 +08:00
    劫持还好,返回速度巨快的包直接丢掉

    就怕中间人。。。。
    heiher
        11
    heiher  
    OP
       2014-06-23 11:10:58 +08:00
    @est 这怎么做到?有简单的实现方法吗?
    soruNis
        12
    soruNis  
       2014-06-23 11:12:41 +08:00
    @doskoi 违反“管理办法”应该属于违法, 而不是犯罪。
    doskoi
        13
    doskoi  
       2014-06-23 11:13:34 +08:00
    @heiher 我想第六条第三点的前提是“危害计算机信息网络安全的活动”,所以属于擦边球。
    heiher
        14
    heiher  
    OP
       2014-06-23 11:13:59 +08:00
    @soruNis 了解了,就是说展示广告仅是违法了,而如果盗取账户等等就算犯罪了。
    doskoi
        15
    doskoi  
       2014-06-23 11:14:09 +08:00
    @soruNis 恩,表达有误
    heiher
        16
    heiher  
    OP
       2014-06-23 11:16:58 +08:00
    如果仅将每个HTTP会话的第一个包含HTTP响应的包直接丢弃了,是不是就可以解决被劫持的问题了呢?
    akfish
        17
    akfish  
       2014-06-23 11:20:11 +08:00
    @doskoi 注意“未经允许”四个字,搞不好在你和ISP签的某个合同/授权协议/安装许可协议中第xxx页的第xx段有那么几行小字,表示你允许ISP插入广告。

    所以流氓网站/软件作者,要记得在服务条款里混入那么一句,不选择接受不让注册/安装,反正用户也不会看,获得用户许可就不违法了,233。
    KokongW
        18
    KokongW  
       2014-06-23 11:39:51 +08:00
    现在ISP很多都在玩TCP劫持,现在还是只劫持广告,未来呢?Who knows?Who care?
    est
        19
    est  
       2014-06-23 11:40:01 +08:00
    @heiher 还真可以。TCP有重传机制。劫持做的不好,基本就是来一发就不管了。当然流氓会武术,把TCP所有状态都考虑了,谁都拦不住。
    heiher
        20
    heiher  
    OP
       2014-06-23 11:45:48 +08:00
    @est 劫持倒是可以发很多次响应的,这个有点麻烦。但要在重传上做手脚的话,时间上可能不允许吧。
    Actrace
        21
    Actrace  
       2014-06-23 11:58:54 +08:00
    《计算机信息网络国际联网安全保护管理办法(公安部令第33号)》
    请注意,是国际联网.
    ayang23
        22
    ayang23  
       2014-06-23 12:25:11 +08:00
    @heiher 听说移动员工就靠倒卖用户信息和手机号发财,ISP可能不去卖,但ISP也是人在管理啊
    davidjqq19
        23
    davidjqq19  
       2014-06-23 12:33:00 +08:00
    用https就好了
    sanddudu
        24
    sanddudu  
       2014-06-23 12:37:41 +08:00
    @akfish 本身你不接受他们的行为,还享受他们的服务,是自己找罪受?
    所以你不接受本身就不要注册 / 安装
    另外如果你同意的是 EULA ,那你只是被授权使用软件,开发商随时可以收回使用权

    只是说明不是流氓网站 / 软件才会要求注册必须同意协议内容
    不过没做的那么绝,不会不同意就真的收回你的账号
    shuax
        25
    shuax  
       2014-06-23 12:40:21 +08:00
    玩了一下菜刀,生命太不安全了。
    xingxiucun
        26
    xingxiucun  
       2014-06-23 12:43:36 +08:00
    idc要做安全审计的 一般都是对出入的流量镜像一份然后做审查。。。。不只http
    akfish
        27
    akfish  
       2014-06-23 13:17:46 +08:00
    @sanddudu 有种条款叫做霸王条款,有种选择叫做没有选择,在天朝这很奇怪么
    LetFoxRun
        28
    LetFoxRun  
       2014-06-23 13:20:12 +08:00
    怎么玩的,大神可否写篇博客或者简单的介绍,谢谢。
    Admstor
        29
    Admstor  
       2014-06-23 13:53:05 +08:00
    ISP一般也就插插广告,以及根据有关部门的要求屏蔽一些网站而已了

    最有安全隐患的是公共wifi...
    我现在在外面不熟悉的地方,宁愿用自己龟速的EDGE也不用wifi了
    kqz901002
        30
    kqz901002  
       2014-06-23 13:56:54 +08:00
    @doskoi gfw的确在犯罪啊
    heiher
        31
    heiher  
    OP
       2014-06-23 13:57:37 +08:00
    @LetFoxRun 这个技术上的门槛太低了,Google 一下一大把的。
    heiher
        32
    heiher  
    OP
       2014-06-23 13:58:08 +08:00
    @Admstor 免费WIFI用呀,全局代理到自己的VPS上。
    ioth
        33
    ioth  
       2014-06-23 14:44:46 +08:00
    @kqz901002 天朝zf不承认存在这个东西。
    a2z
        34
    a2z  
       2014-06-23 14:51:50 +08:00
    heiher
        35
    heiher  
    OP
       2014-06-23 15:01:56 +08:00
    @a2z 这就是我之前说的部分HTTP是没有意义的,也有人说使用JS实现的密码加密并不是合适的方法。
    Admstor
        36
    Admstor  
       2014-06-23 15:15:54 +08:00
    @heiher 并没有自己的VPS...
    Mutoo
        37
    Mutoo  
       2014-06-23 22:13:26 +08:00   ❤️ 1
    latyas
        38
    latyas  
       2014-06-27 09:21:58 +08:00 via Android
    一直通过自己的vps走443..
    tianruoqiwo
        39
    tianruoqiwo  
       2014-10-23 18:11:48 +08:00
    @heiher 你的演示视频 挂掉了··要不分享到百度云上吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2941 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:37 · PVG 08:37 · LAX 16:37 · JFK 19:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.