V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CloudnuY
V2EX  ›  宽带症候群

联通对 HTTPS 网站下手了你们怕不怕

  •  2
     
  •   CloudnuY · 2018-08-24 10:51:27 +08:00 · 7012 次点击
    这是一个创建于 2313 天前的主题,其中的信息可能已经有所发展或是发生改变。

    测试的有多个电商的返利链接,联通直接瞎搞根证书劫持返利链接了

    第 1 条附言  ·  2018-08-26 18:05:19 +08:00
    当地客户经理回复说在市机房检查过了,流量正常,没有任何问题。

    这两天在市下多个县的联通宽带都做了测试,现象一模一样……
    32 条回复    2018-09-08 13:40:55 +08:00
    night98
        1
    night98  
       2018-08-24 11:17:21 +08:00
    上 ss
    BOYPT
        2
    BOYPT  
       2018-08-24 11:22:56 +08:00
    这样瞎搞应该没法在淘宝正常下单的啊,返利过程也没法完成吧...
    CloudnuY
        3
    CloudnuY  
    OP
       2018-08-24 11:23:58 +08:00
    @BOYPT #2 怕是很多不懂的人直接点信任或者继续了……
    leoojiang
        4
    leoojiang  
       2018-08-24 11:25:02 +08:00
    这么牛逼。。。
    orangeade
        5
    orangeade  
       2018-08-24 11:38:00 +08:00
    墙国互联网就和粪坑一样
    imfannet
        6
    imfannet  
       2018-08-24 11:42:15 +08:00
    证书劫持用 chrome 会无限报错 淘宝京东什么的支付流程都完成不了 直接按故障报吧
    Tianao
        7
    Tianao  
       2018-08-24 11:43:41 +08:00
    这个……我还是持怀疑态度,个人建议题主再排查下其他环节,或者只是 CDN 那边出问题了。
    Love4Taylor
        8
    Love4Taylor  
       2018-08-24 11:55:36 +08:00 via Android
    怕倒是不怕反正只要自己设备上不瞎装根证书就行, 不过到底是不是联通干的还存疑, 持续关注...
    est
        9
    est  
       2018-08-24 11:56:50 +08:00
    @Tianao 同意。。。

    劫持的话,不会搞一个过期的证书。。
    Liqianyu
        10
    Liqianyu  
       2018-08-24 12:00:45 +08:00
    抓包看看劫持到哪里啊。
    图中的返利链接是
    mm_30206881_24090660_114504924
    memberid(联盟成员 ID),siteid(推广媒体 ID),adzoneid(推广位 id)
    SirLostWhite
        11
    SirLostWhite  
       2018-08-24 12:01:20 +08:00
    我曹!
    这瞎 TM 搞不是犯法的吗
    这不是劫持吗
    真的假的!
    我有点不太敢相信哦
    affyun
        12
    affyun  
       2018-08-24 12:17:20 +08:00
    这种劫持的目标是那些用会忽略 https 错误的国产浏览器的人
    Cipool
        13
    Cipool  
       2018-08-24 12:37:58 +08:00 via Android
    建议还是看看解析出的 IP 地址 看是不是阿里 CDN 的节点 或者被劫持到联通自建的服务器了
    CloudnuY
        14
    CloudnuY  
    OP
       2018-08-24 12:44:09 +08:00
    如图,首先联通劫持第三方 DNS 到自己的 DNS (经测试大众第三方 DNS 如 114、阿里等都被劫持,小众 DNS 未被劫持),然后将各种返利链接解析到联通自建服务器


    CloudnuY
        15
    CloudnuY  
    OP
       2018-08-24 12:45:22 +08:00
    @Tianao #7
    @est #9
    见楼上,首先 DNS 劫持,再解析到联通自建服务器
    CloudnuY
        16
    CloudnuY  
    OP
       2018-08-24 12:48:21 +08:00
    如图 DNS 路由追踪结果,直接路由牵引劫持
    qgswzmz
        17
    qgswzmz  
       2018-08-24 12:55:41 +08:00 via Android
    山东联通 最近上京东小米官网什么的 第一次进去都在地址栏标不安全 点击所有连接都跳转空白页 刷新一次后地址栏变为正常的 HTTPS 安全 然后点击链接才正常
    bao3
        18
    bao3  
       2018-08-24 13:06:57 +08:00 via iPhone
    楼主用的是联通官方运营商?还是联通代理商?可能截图似乎是联通代理的做的 dns,不是官方的地址
    miyuki
        19
    miyuki  
       2018-08-24 13:19:13 +08:00 via Android
    楼主以前也投诉过,我有点印象
    iwtbauh
        20
    iwtbauh  
       2018-08-24 14:21:49 +08:00 via Android
    返利链接是什么?

    淘宝竟然没有用 hsts....
    Liqianyu
        21
    Liqianyu  
       2018-08-24 15:42:34 +08:00
    @CloudnuY
    哪里的联通?
    是内网 IP ?怎么路由跟踪都到 10.196.128.1
    chinvo
        22
    chinvo  
       2018-08-24 16:00:12 +08:00
    一般来讲,信任也不行,装 CA 也不行的

    涉及金融都得上 HSTS 了吧,HSTS 认指纹,可以一定程度防止中间人攻击
    phantasm
        23
    phantasm  
       2018-08-24 16:02:48 +08:00
    @Liqianyu 看截图 是山西临汾
    CloudnuY
        24
    CloudnuY  
    OP
       2018-08-24 16:06:34 +08:00
    @Liqianyu #21 一百八十线小县城,联通分配的内网 IP
    RqPS6rhmP3Nyn3Tm
        25
    RqPS6rhmP3Nyn3Tm  
       2018-08-24 16:55:01 +08:00
    @chinvo HSTS 不认指纹的吧,只是尊重协议的客户端需要走 HTTPS
    bclerdx
        26
    bclerdx  
       2018-08-24 23:13:39 +08:00
    @CloudnuY 怎么看出劫持第三方 DNS 到自己的 DNS 的?
    leaves7i
        27
    leaves7i  
       2018-08-24 23:54:09 +08:00 via Android
    工信部吧。这种不像是运营商搞得,感觉可能是内部人员滥用职权搞得
    gcod
        28
    gcod  
       2018-08-26 10:38:06 +08:00
    又不是第一次这样搞了
    工信部投诉吧
    v2gg
        29
    v2gg  
       2018-09-04 15:59:45 +08:00 via iPad
    @qgswzmz 小米官网根域名( https://mi.com )好像就是他们自己配置错了。。。得用 www ( https://www.mi.com )才可以
    qgswzmz
        30
    qgswzmz  
       2018-09-04 19:27:43 +08:00 via Android
    @v2gg 应该不是这个问题吧 我是输入 mi (或者 jd )然后 Ctrl+回车 自动加的 www 和 com
    CloudnuY
        31
    CloudnuY  
    OP
       2018-09-04 20:16:01 +08:00
    @qgswzmz #30 小米官网的确在联通劫持名单里面
    v2gg
        32
    v2gg  
       2018-09-08 13:40:55 +08:00 via Android
    @qgswzmz 有可能浏览器识别了,我这不太清楚;但是我这里 https://mi.com/ 是提示安全证书验证失败的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1112 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:51 · PVG 02:51 · LAX 10:51 · JFK 13:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.