科普：流量劫持能有多大危害？

发布时间:2014-06-10 14:27 作者:佚名来源:FreebuF.com 点击:加载中...次

上一篇文章，介绍了常见的流量劫持途径。然而无论用何种方式获得流量，只有加以利用才能发挥作用。

不同的劫持方式，获得的流量也有所差异。DNS 劫持，只能截获通过域名发起的流量，直接使用 IP 地址的通信则不受影响;CDN 入侵，只有浏览网页或下载时才有风险，其他场合则毫无问题;而网关被劫持，用户所有流量都难逃魔掌。

在本文中，我们通过技术原理，讲解如下问题：

- 为什么喜欢劫持网页？- 只浏览不登陆就没事吗？- 自动填写表单有风险吗？- 离开劫持环境还受影响吗？- 使用 HTTPS 能否避免劫持？- 流量劫持能否控制我电脑？

为什么喜欢劫持网页？

理论上说，劫持到用户的流量数据，也就获得相应程序的网络通信。但在现实中，数据并不代表真实内容。一些重要的网络程序，都是私有的二进制协议，以及各种加密方式。想通过流量来还原出用户的聊天信息、支付密码，几乎是不可能的。即使花费各种手段，破解出某个程序的通信协议，然而一旦程序升级改变了协议格式，或许就前功尽弃了。因此，很难找到种一劳永逸的客户端劫持方案。

然而，并非所有程序都是客户端的。一种新兴的应用模式 —— WebApp，发展是如此之快，以至于超越客户端之势。在如今这个讲究跨平台、体验好，并有云端支持的年代，WebApp 越来越火热。各种应用纷纷移植成网页版，一些甚至替代了客户端。同时，也造就了流量劫持前所未有的势头。

WebApp，其本质仍是普通的网页而已。尽管网页技术在近些年里有了很大的发展，各种新功能一再增加，但其底层协议始终没有太大的改进 —— HTTP，一种使用了 20 多年古老协议。

在 HTTP 里，一切都是明文传输的，流量在途中可随心所欲的被控制。传统程序事先已下至本地，运行时只有通信流量;而在线使用的 WebApp，流量里既有通信数据，又有程序的界面和代码，劫持简直轻而易举。

上一篇也提到，如果在户外没有 3G 信号的地方钓鱼，无法将获得的流量转发到外网。然而，使用网页这一切就迎刃而解。我们完全可以在自己的设备上搭建一个站点，留住用户发起离线攻击。对于那些连上 WiFi 能自动弹网页的设备，那就更容易入侵了。

因此，劫持网页流量成了各路黑客们的钟爱，一种可在任意网页发起 XSS 的入侵方式。