售前咨询
技术支持
渠道合作

不可忽视的信息安全,国务院某App的H5遭遇流量劫持

上周,Wannacry勒索病毒引起了全球轰动,各大信息网络都被这病毒刷屏了,大家的眼球都集中在这一勒索病毒的进展,导致国内一条重要的安全信息被刷走了,没引起大家的关注。不久前,某国字号的App遭遇流量劫持的传闻在业界流传。有消息称,该App某H5页面被植入色情内容广告,经排查“基本确定为用户当地运营商http劫持导致H5页面被插入广告……”

 

什么是HTTP劫持?

HTTP劫持是指DNS解析的域名的IP地址不变。在和网站交互过程中劫持了用户的请求。在网站发给你信息前就给客户返回了请求。

HTTP劫持的现象一般表现为正常访问一个无广告的页面时,页面上出现广告弹窗,这种八成就是运营商劫持了HTTP。下图中,右下角的广告并不是所访问的网站放置的。

其中,HTTP劫持比较出名的是360导航的首页,曾经被某运营商弹出广告,而且只有用户打开360导航时才会出现该广告,以至于很多用户认为这是360自己的广告,引发了大量投诉,结果最后被证实是运营商干的。

网络运营商为了卖广告或者其他经济利益,有时候会直接劫持用户的访问,其中http劫持是目前业界常见的流量劫持方式之一,还有另一种是DNS劫持。http劫持表现为用户浏览的正常页面被植入各种广告,而DNS劫持会导致用户的页面被强行跳转至其他网站。

解决方案

国内信息安全服务商数安时代(GDCA)认为解决HTTP劫持并非是一件困难的事情,只需要在HTTP协议的基础上添加SSL加密协议,将HTTP明文传输协议升级到HTTPS加密传输协议。但是,HTTPS不同于简单的HTTP代理,HTTPS 服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器并不承认是安全的,而且还会给予严重的警告提示。

所谓的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权利签发各类数字证书,比如数安时代(GDCA)。

HTTPS如何防止劫持

HTTPS是HTTP over SSL的意思,以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。

SSL协议在HTTP请求开始之前增加了握手的阶段,其粗略流程如下图所示:

在SSL握手阶段,客户端浏览器会认证服务器的身份,这是通过“证书”来实现的,证书由证书权威(CA)为某个域名签发,可以理解为网站的身份证件,客户端需要对这个证件进行认证,需要确定该证书是否属于目标网站并确认证书本身是否有效。最后在握手阶段,通信的双方还会协商出一个用于加密和解密的会话密钥。

SSL握手阶段结束之后,服务器和客户端使用协商出的会话密钥对交互的数据进行加密/解密操作,对于HTTP协议来说,就是将HTTP请求和应答经过加密之后再发送到网络上。

GDCA(数安时代)拥有国内自主签发信鉴易 TrustAUTH SSL证书以及是国际多家知名品牌:GlobalSign、Symantec、GeoTrust SSL机构指定的国内代理商。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

 

 

 

 

 

 

 

 

 

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服