首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
广告
baskice
V2EX  ›  问与答

最近是出现了能绕过 HTTPS 的广告劫持方法吗?

  •   
  •   baskice · 2017-04-12 22:02:12 +08:00 · 4574 次点击
    这是一个创建于 2766 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近陆续有用户反应网站出现悬浮劫持的广告,手机端特别严重。 而且出现这个问题的用户表示除了 bat 三家大厂以外的 app 几乎都有相同劫持广告,甚至游戏里的公告联网都会被插广告。

    我的站点已经全部强制 https ,现在有新方法插广告能绕过 HTTPS ?
  • 劫持
  • 广告
  • bat
  • 大厂
    24 条回复    2017-04-13 18:54:14 +08:00
    kindjeff
        1
    kindjeff  
       2017-04-12 22:07:13 +08:00
    他自己的手机中毒了吧
    baskice
        2
    baskice  
    OP
       2017-04-12 22:10:32 +08:00
    @kindjeff 你是怀疑用户手机被恶意程序感染直接从内部插广告吗?有可能……
    mdzz
        3
    mdzz  
       2017-04-12 22:41:24 +08:00
    「手机端特别严重」的意思是 PC 端也出现了劫持?
    czc2004211
        4
    czc2004211  
       2017-04-12 23:03:33 +08:00 via iPhone
    我也遇到了
    电脑去斗鱼 给我跳到页游地址
    Shura
        5
    Shura  
       2017-04-12 23:05:11 +08:00 via Android
    http 降级攻击?
    shoaly
        6
    shoaly  
       2017-04-12 23:18:25 +08:00   ❤️ 1
    也有可能是客户的手机 信任了一个 不应该被信任的 CA 证书机构, 签发了你域名的假证书....
    RobertYang
        7
    RobertYang  
       2017-04-12 23:24:25 +08:00 via Android
    确认使用了 HSTS 并生效了吗
    flyz
        8
    flyz  
       2017-04-12 23:46:52 +08:00 via Android
    四川联通已经出现了, https 劫持京东热卖,巧取豪夺推广京东联盟推广者返利。
    BOYPT
        9
    BOYPT  
       2017-04-13 00:22:41 +08:00 via Android
    页面有 http 的 js 资源吧
    lyhiving
        10
    lyhiving  
       2017-04-13 02:00:05 +08:00 via Android
    看运营商
    phlips5437
        11
    phlips5437  
       2017-04-13 02:21:47 +08:00
    看运营商 +1

    上海电信也是出现过这类情况,电话客服说明情况后,确认不要收到广告,然后就再也没有出现过
    des
        12
    des  
       2017-04-13 07:29:27 +08:00 via Android
    @BOYPT 你可以自己试一下,随便什么浏览器都可以,你看会出现什么
    DesignerSkyline
        13
    DesignerSkyline  
       2017-04-13 07:46:03 +08:00 via Android
    Content-Security-Policy 仅允许本站资源呢?这样如果还能被劫持插广告,就可以发密码学奖了吧
    Miy4mori
        14
    Miy4mori  
       2017-04-13 08:12:36 +08:00 via iPhone
    不知道和 dns 劫持有没有关系
    yuluofanchen
        15
    yuluofanchen  
       2017-04-13 08:17:04 +08:00 via Android
    淘宝已经出现,自动跳转到淘宝热卖
    techyan
        16
    techyan  
       2017-04-13 08:25:03 +08:00
    应该是被插了第三方 HTTP 的 JS 。同 #9 。印象里,有些浏览器会默认拦截,但是有些不会,尤其是移动端。
    morethansean
        17
    morethansean  
       2017-04-13 09:45:26 +08:00
    @yuluofanchen 访问淘宝主页被自动跳转?
    glasslion
        18
    glasslion  
       2017-04-13 09:51:51 +08:00
    哪些平台, 全是 android 的话, 八成是悬浮窗。和劫持没关系
    Quaintjade
        19
    Quaintjade  
       2017-04-13 13:06:41 +08:00 via Android
    看了 LZ 的网站,没有非 HTTPS ,配置也是强健的
    https://www.ssllabs.com/ssltest/analyze.html?d=zh.moegirl.org

    如果不是手机端中毒,也有可能:
    页面加载的某些第三方资源出卖了你; CDN 缓存的东西被篡改,或者回源过程中被劫持。
    yuluofanchen
        20
    yuluofanchen  
       2017-04-13 13:28:42 +08:00 via Android
    @morethansean 是的,跳转到爱淘宝这个页面。
    morethansean
        21
    morethansean  
       2017-04-13 14:03:42 +08:00
    @yuluofanchen 浏览器名称以及版本? Chrome 的话注意 不要安装任何插件进行测试,已经有很多已知恶意插件了……
    morethansean
        22
    morethansean  
       2017-04-13 14:17:14 +08:00
    @yuluofanchen 另外如果是手打 taobao.com 的话……可能直接就会被劫持,如果 http://taobao.com 没被劫持,他会转跳 http://www.taobao.com ,这个时候还可能被劫持……

    不过这劫持楼主说的悬浮广告不是一个概念了……悬浮广告肯定是有别的问题……
    exoticknight
        23
    exoticknight  
       2017-04-13 14:19:10 +08:00
    觉得不太可能,不然就太恐怖了
    Quaintjade
        24
    Quaintjade  
       2017-04-13 18:54:14 +08:00 via Android
    @Quaintjade
    刚没注意, ipv6 虽然是 A+,但 ipv4 是 F
    https://www.ssllabs.com/ssltest/analyze.html?d=zh.moegirl.org&s=119.29.48.35
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5376 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 07:27 · PVG 15:27 · LAX 23:27 · JFK 02:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.