HTTPS绝对安全吗

Posted 2021-04-30 黑白之道

安全问题一直是互联网用户心头的一块大石。很多人将https与安全画上了等号。实则不然，今天跟大家聊聊https的那些事。

        

　　在平时工作和日常生活中, “https=安全”这样的观点在大多数人的思维中根深蒂固，甚至很多人根本不认为自己会被。那这个观点到底对不对呢?难道真的是 too young too simple, sometimes naïve么?

　　下面就来打破人们的这些鬼https的信任吧、(注：本文只讨论前端以及中间人的手段来获取信息，因为https主要是为了防止信息被监听。至于黑站等相关问题，本文暂不讨论。)

　　一：https降级

　　降级这项技术历史悠久，但由于操作简单便捷，所以使用率一直很高。这项技术与证书伪造殊途同归，为了让读者能直观感受这一类直接劫持类型的，在此做一个简单的演示。

　　为了让大家对整个演示过程印象深刻，把BAT的产品拿来做演示对象应该是最有效的。另外，个人觉得搜索引擎应该也是大家用的最多的产品，那不妨就让baidu身先士卒，先上笔者的手术台被我解剖下。

　　工具:一台受害者的电脑或者虚拟机，另一台装有sslstrip或者一堆高度集成的自带sslstrip功能的中间人工具框架。具体操作请看下面演示 ：

　　在受害者电脑上，这个是正常访问baidu的样子。有小锁图标，有https协议，然后我们看看如果受到了降级之后，受害者的百度：

       

        

　　由上图可见，受害者电脑上输入的用户名和后的密码都已经被截取到。幸好密码是的，攻击者无法直接获取受害者的用户名和密码。由上可知，即使有了https，对密码也是必不可少的步骤。紧急关头，这也能给自己加一道最后的防护。

　　那接下来，我们继续介绍些更隐蔽、更直接地拿到明文密码的方法。

　　二：js中间人投毒

　　这个名字其实是笔者根据攻击原理形象化的描述。其原理是先开展中间人攻击，然后在用户请求的时候修改返回的数据包，插入有攻击性的js代码。具体步骤请看下面的演示：

　　工具：一台受害者的电脑，一台攻击者的电脑，为了方便，直接使用mitmf这个中间人攻击框架进行操作。

　　攻击者电脑开启mitmf，调用jskeylogger模块：

             

　　登录凭证窃取计划完成，这个方法比第一个方法要方便得多，直接窃取到明文密码，而且https以及安全图标都还在。

　　除了中间人攻击的方法，攻击者还可以结合xss,js缓存投毒等一系列攻击手段开展类似的攻击，危害不可谓不大。

　　三：浏览器恶意插件

　　浏览器恶意插件，和中间人关系不大。因为中国有Great Firewall的存在，我们基本可以不用担心一些恶意插件能窃取我们的资料。但是由于习惯原因，很多人喜欢用chrome，并且大家也都知道chrome可以装很多有用的插件，然而由于Great Firewall的存在，通过正常渠道是访问不到谷歌应用商店的。于是，很多有需要的用户会通过各种方法去下载类似的插件。而对插件原理不甚明了的用户，就很有可能下载到带有恶意js的插件。通常来说，大部分的杀毒软件对带有恶意js的插件是没有特别好的检测方案的。而无论是谷歌还是火狐的官方插件商店，都曾经出现过带有恶意代码的插件，造成了巨大的损失。

　　背景介绍完了，演示如下：

　　工具：一台受害者的电脑，一个笔者写的chrome插件，一台可以访问接收的web服务器。

　　首先，攻击者在经不住诱惑的情况下(如“美女图片”插件,“一元钱抢6s”插件等描述)，下载了恶意的插件，然后又登录baidu(为了增强大家印象)，现在，我们换一个比较“致命”的应用，支付宝。

     

　　主要是通过监听表单的submit事件来实现。

　　HTTP安全问题其实是当前的一个重点问题，很多人的账户密码都是由以上攻击方式而被窃取的。除上三种方式外之外，攻击方法还有很多，本文就不一一列举了。用户必须要理解一个概念：安全是一个需要积累的过程，就像打补丁。

　　一个补丁刚打上时，暂时可以保证安全。但是时间一久，系统仍有可能出现其他的漏洞。你可能认为某个小补丁不起眼,能一击而破，可是别忘了，补丁也不是独自战斗。因此，各项安全工作一起合力，就能很好的延长防护的纵深以及拉长防护的战线，给予我们以及用户更好的保护。

----------------------------------

要闻、干货、原创、专业
关注“黑白之道” 微信：i77169
华夏黑客同盟我们坚持，自由，免费，共享！