服务热线:400-0033-166
万商云集 - 企业数字化选用平台

企业首选的

数字选用平台

分析与思考:电商网站中木马

2021-01-05 11:28:34 阅读(181 评论(0)

自腾讯与京东建立战略合作关系以来,作者首选京东进行网上购物。有一天,当我在家里访问京东主页时,我突然惊讶地发现浏览器突然跳到第三方网站,然后回到京东。我心中的第一反应是中木马。有这样的事,一定要把木马大卸八块。原因排查首先是在重现的情况下抓包,JavaScript确实返回了JavaScript,让浏览器跳转到yiqifa.com。下图为应用层的抓包。服务器返回的代码导致跳转,基本上可以排除本地木马,推测是网络或服务器的问题。根据作者的经验,这种情况很可能是链路上的流量劫持攻击。当然,也不能排除京东服务器被黑客攻击。继续排查。应用层不再工作,我们要用Wireshark抓取网络层的包。从Wireshark的结果可以看出,两个JD.COM的HTTP响应出现在网络上。第一个先到,所以JavaScript代码在浏览器执行中转移到yiqifa.com;由于迟到,第二个HTTP响应被系统忽略了(Wireshark识别为outt)-of-order)。JD.COM的两个HTTP响应包一定是真的,一个是假的。真相即将揭晓。再来看看HTTP响应的两个IP头。第一包TTL值为252,第二包TTL值为56,TCP三次握手时JD.COM服务器TTL值为56。因此,可以判断先到的包是伪造的,包真的很晚,被系统忽略了。到目前为止,确认是链路上的劫持。继续分析伪造的数据包进行攻击。伪造包的TTL值为252,即其原始TTL值为255(默认TTL值为255,一般不修改),表明攻击者设备离我有3条路由;京东网站正常HTTP响应TTL值为56,路由8条。物理上的假设备离我很近,所以伪造的HTTP响应会先到——更有趣的是,在实际监控中,作者发现伪造包太晚,导致劫持失败。推测是旁路设备对所有数据包进行调查,发现京东主页上的HTTP请求立即返回定制的HTTP响应。一般攻击示意图如下。当时,作者推测攻击者不应该只针对一个网站,所以他访问了易迅、淘宝、天猫等电子商务网站,发现易迅也受到了同样的攻击。流量劫持的目的似乎是将电子商务网站的流量导向返利联盟,并通过返利联盟获得当前用户交易金额的返利。基本确认运营商有问题,但无法确认运营商是官方故意还是被黑客攻击或者内部人士偷偷搞的。攻击源定位看当时的路由结果:如果按原TTL值为255计算,HTTP包到达本机后为252,计算出3(255-252)路由后,问题在第四路由附近,即119.145.220.86(属于深圳电信)。当然,虽然基本上可以确认这是第四个路由附近的问题(作者连续几天抓住包,伪造的HTTP响应包TTL值为252),但不排除设备故意构建初始TTL值(如设置为254)来增加追踪难度,为了严格的学术态度,避免被攻击者混淆,所以证据应该是真实的。定位相对简单,由于攻击设备是旁路侦听数据包,可以推测它是基于包而不是状态,我们构建侦听数据包(即直接访问京东主页HTTP请求TCP包,不需要三次握手)多次发送,TTL值从1开始增加,准确地将数据包传输到每条路径,直到伪造响应——没有问题的位置没有响应,伪造反应的第一个位置是有问题的位置。此时需要一个基于Python的Scapy或Windows下的XCAP的数据包结构工具。此时,需要一个基于Python的Scapy或Windows下的XCAP的数据包结构工具。所以一路上,当TTL值等于4时,伪造的响应包出现——确认第四跳路由有问题,119.145.55.14回复Time-to-ICMP包liveexceeded。凭借充分的证据,通过腾讯安全应急响应中心向深圳电信整理了一份图文并茂的文件。一天后,我得到了运营商的回复:“经核实,深圳本地没有推送,网上查询木马或病毒会导致这种现象,非电信网络问题,请在测试前杀毒,谢谢”。然而,从那天晚上开始,我在ADSL环境测试中没有发现这种流量劫持。攻防之路的链路劫持对企业和用户来说都是非常麻烦的,影响用户体验,泄露敏感信息,分区域,检测和防御相对困难。 链路劫持已经被一些人利用了。比如最近业内发现百度联盟广告脚本植入恶意JavaScript到DDOS攻击GitHub。腾讯历史上也遇到过很多链路劫持攻击,目的性很强,大部分都是插广告(少数是钓鱼和挂马),攻击手法多种多样,包括运营商区域DNS劫持和链路劫持,运营商区域DNSServer被缓存投毒攻击(CVE-2007-2926,非常经典)、在路由软件中植入劫持代码,CDN和源通信遭到ARP攻击,用户PC本地木马。当然,这些问题目前已经解决,并且正在持续监控中。当然,这些问题目前已经解决,并且正在持续监控中。  为了对抗链路劫持,腾讯的许多业务也使用了HTTPS或私人协议,如QQWeb登录、QQ邮箱、金融通信、Web微信、微信公共平台等。DNS劫持攻击相对容易检测和保护。在检测方面,用分布点进行DNS查询即可,发现运营商DNS结果不对可促进修复。在防护方面,使用DNSSEC是一种方案(DNSSecurityExtensions);腾讯和114DNS也开发了自己的方案——HttpDNS。HTTPDNS通过HTTP协议从HTTPDNS后端服务器获取域名对应的IP,而不使用DNS协议。当然,我们可以实现一堆类似的想法:HTTPSDNS、TCPDNS、UDPDNS、ICMPDNS...链路劫持相对复杂。  在检测方面,如果有客户端,可以依靠客户端进行检测;如果没有客户端,可以用JavaScript在网页上检测页面元素,甚至在全国重要城市租用ADSL进行检测。此外,在机房的流量监控设备中会发现异常:例如,在这种情况下,用户在收到HTTP响应后不会回应,然后在URL中带来yiqifa.com的关键字重新访问主页;另一个例子是,某些设备的HTTP阻断器将向服务器发送特定的RST包(我见过888发送IPID的案例)。在保护方面,本案只是伪造数据包,没有被阻止。因此,只要客户端安全软件拦截疑似问题包(TTL值在TCP会话中差异很大或IPID突然跳转),就可以进行防御。如果没有相同的数据包,可以拦截并休眠1秒,以免误杀。如果你有自己的客户端,你可以采取自己的私人协议。网站类别比较困难。部署HTTPS。百度主页最近使用了HTTPS,但大多数用户仍然不习惯在浏览器中输入“https:/”,因此仍有被劫持的风险(类似的工具有SSLStrip)。当然,对抗也会升级,比如GMail证书伪造事件。  当HTTPS不能大规模普及时,能否为用户或终端软件提供避免链路劫持的安全服务?好像可以。下图是一个简单的解决方案,可以通过本地代理软件和云服务来避免不安全的ADSL链路。一些浏览器的云加速也客观地实现了这一功能。对于安全性不确定的公共WiFi,也可以使用类似的方法来规避风险。后记希望这篇文章对你有帮助。

内容来源:网络,以上内容来源于网络,不代表本站观点,如有侵权,请联系删除。

推荐阅读

小米系统语音引擎有什么用

小米系统的语音引擎是一项重要的技术,它为用户提供了多种便利和功能。随着科技的不断进步,语音识别和语音交互技术正在成为智能手机很重要的部分,小米作为一家知名的科技公司,致力于为用户提供全面的智能体验,其中的语音引擎在实现这一目标方面发挥了重要…查看详情

便利店收银系统价格,8款常用收银系统推荐

新零售时代,便利店分布城市的每个角落,其规模已经达到非常可观的程度,这期间的操作和运转离不开一个功能强大的收银系统,那么你知道市场上便利店收银系统价格是怎么样的一个情况吗?小编整理了8款市面常用的便利店收银系统供大家参考。 1.客如云智慧零…查看详情

国外直播软件有哪些?国外十大直播软件

 现在看直播的人数是越来越多,基本上可以说是全名直播了,目前国外的直播也是非常火爆的,下面万商云集小编给大家来详细介绍一下国外直播软件有哪些?国外十大直播软件这方面的内容,希望能帮助到大家了解到国外直播这一块。 一、Live.me  美国爆…查看详情

作品版权登记多少钱?总费用受多个因素影响

为了更好地保护自己的作品,很多人都会选择为这些作品申请版权。在我国版权申请登记需要缴纳申请的费用,也就是我们所说的版权登记费。那么通常作品版权登记多少钱呢?一起接着往下看。图片来源于网络作品版权登记多少钱?由两种费用构成总费用。作品版权登记…查看详情

淘宝领取方式有哪些?红包该怎么抢?

怎样在淘宝网抢红包?抢红包的技巧:  1.下载按键精灵录制好鼠标点击的步骤;  2整点前几分钟不断刷新屏幕,整点一分钟左右的时间是抢红包的黄金时间,建议手动点击鼠标,同时不断按F5刷新.  3超级红包阶段,尽量快速点击黑猫提高中奖的概率. …查看详情

2021免费资产管理软件大盘点

企业在发展的过程中免不了会有资产的风险,资产管理是企业发展的基础,也是它经营的一部分,针对财产的管理就要求助于相关的资产管理软件,今天就给大家盘点一下那些免费资产管理软件。 1.易盘点免费资产管理软件 易盘点是为企业固定资产提供全生命周期管…查看详情

好用的小区物业智能门禁系统推荐

目前社会发展越来越快,人们对各方面的安全要求也越来越高,家居安全也是其中之一,所以小区物业智能门禁系统也就应时而生,安全性能高还便于物业管理。市场上现在拥有众多知名的智能门禁品牌,那么到底哪些是真正好用便捷的呢?看小编给大家盘点盘点好用的小…查看详情

合作伙伴:葛氏济世堂

品牌介绍葛氏济世堂是四川省利健济世科技有限公司于2014年1月28日注册的第5类医疗用品品牌,注册号:9998238。葛氏济世堂自成立以来,坚持为顾客提供医药、健康理疗服务,葛氏济世堂的产品从制作到最终为理疗者服务,全程由公司核心团队严格把…查看详情

关于新店开业策划的方案和具体操作

随着时代的发展,社会的进步,现在越来越多的人选择自己开店经营。既然要开店,那么也要有新店开业策划,以保证新店开业能够顺利进行。新店开业策划也可以激发人气,从而做到大大提高销售额,下面是关于新店开业策划的方案和具体操作详解。 新店开业策划活动…查看详情

万商云集上榜i黑马“2020中国企服行业最具成长力TOP50”榜单

12月18日,在i黑马举办的2020第十三届创业家年会上,万商云集从700家企业中脱颖而出,上榜“中国企服行业最具成长力TOP50”榜单。 此次评选,由i黑马与来自60多家投资机构的百余位投资人,通过18场线上评审,从科技实力、投资价值、成…查看详情

淘宝怎么刷钻 淘宝刷钻方法

  很多人做淘宝的时候都想着刷排名刷到钻石,但是我是不建议新人过度去刷,毕竟现在淘宝查的很严。但我们可以利用一些小技巧也是可以帮助到店铺升钻的。  卖家信用等级如何计算?  卖家想要做到一颗钻需要251个甚至更多的好评,因为根据淘宝的计分规…查看详情

中文编程软件有哪些

中文编程语言是真的吗?最近华为将中文编程语言项目提上了日程。但是实际上中文编程语言是指使用中文来书写的程序设计语言,其目的是为了减少对英语的学习,将精力集中在程序设计上,并且便于程序交流和代码维护。 目前已经存在的中文编程软件有: 1、…查看详情

企业电商系统开发有两种方式,但都需要重视4点

企业电商系统开发时,需先对产品、市场和用户做定位,不仅需要从自身情况和实际需求出发,还需要考虑用户需求和痛点,再由以上结论确定一个最佳的开发方案,最终再去考虑开发模式及重视开发电商系统几大要点。 图片来源于网络 ● 根据开发方案,企业电商…查看详情

工商注册需要准备什么材料

  工商注册是一个繁琐的过程,需要准备各种各样的材料。以下是注册公司所需要的材料列表,以供参考:  1.公司名称预审通过通知书:公司名称必须符合国家政策,并且不得与已经注册的企业名称相同。因此,需要首先进行公司名称预审。  2.股东身份证正…查看详情

人事一般用什么软件?好用的人力资源管理软件

一个公司的招聘工作是由人事部来决定的,每天面试的人有多少,每一个面试人的信息是什么都需要记录在一个软件里面,这样才可以很好的筛选出有能力的面试人员,那么,人事管理软件的一些介绍是什么。1、欢雀科技HR人事管理软件深圳创新科技公司,在人力资源…查看详情

最新文章