过滤 HTTPS 跳转

事实上，在 PC 端上网很少有直接进入 HTTPS 网站的。例如支付宝网站，大多是从淘宝跳转过来，而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS，屏蔽对 HTTPS 的页面访问，用 HTTP 取而代之，那么用户也就永远无法进入安全站点了。

 

尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。

因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。

当然也有一些用户通过输网址访问的，他们输入了 www.alipaly.com 就敲回车进入了。然而，浏览器并不知道这是一个 HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在，其唯一功能就是重定向到自己HTTPS站点上。

劫持流量的中间人一旦发现有重定向到 HTTPS 站点的，显然不愿意让用户走这条不受自己控制的路。于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在 HTTP 站点上访问，自然就可以无限劫持了。

 

搜索引擎劫持

事实上，HTTPS 站点还有个很大的来源 —— 搜索引擎。遗憾的是，国产搜索引擎几乎都不提供 HTTPS 服务。因此在不安全的网络里，搜索结果是不具备任何权威的。

防范措施：

重要的网站必定使用 HTTPS 协议，登陆时需格外留意。

国外的大型网站几乎都提供 HTTPS 服务，甚至是默认的标准。相比国内只有少数重要的服务才使用，绝大多数的信息都是在明文传输。这是为了方便什么来着，你猜。

流量劫持能否控制我电脑？

如果不考虑一些浏览器安全漏洞，理论上说网页与系统是完全隔离的，因此无需担心系统受到影响。

钓鱼插件

有时为了能让网页获得更多的在线能力，安装插件必不可少，例如支付控件、在线播放器等等。在方便使用的同时，也埋下了安全隐患。

如果是一些小网站强迫用户安装插件的，大家几乎都是置之不理。但若一些正规的大网站，提示用户缺少某些插件，并且配上一些专业的提示，相信大多都会选择安装。而这一切，通过被注入的攻击脚本完全能办到。

 

不过，正规的插件都是有完整的数字签名的，而伪造的很难躲过浏览器的验证，会出现各种安全提示。因此，攻击者往往使用直接下载的方式，提示用户保存并打开安装包。

　　页面提权

现在越来越多的应用程序，选择使用内嵌网页来简化界面的开发，在移动设备上更是普遍。

通常为了能让页面和客户端交互，赋予一些本地程序的接口供调用，因此具有了较高的权限。不过，正常情况下嵌入的都是受白名单限制的可信页面，因此不存在安全隐患。

然而在被劫持的网络里，一切明文传输的数据都不再具备可信度。同样的脚本注入，就能获得额外的权限了。

 

一些带有缺陷的系统，攻击脚本甚至能获得出乎意料的能力。通过之前提到的网页缓存投毒，这颗埋下的地雷随时都有可能触发。

下载程序

即使上网从不安装插件，但是下载程序还是经常需要的。由于大多数的下载网站，使用的都是 HTTP 流量，因此劫持者能轻易的修改可执行文件，将其感染上病毒或木马，甚至完全替换成另一个程序。

用户总认为从官网上下载的肯定没问题，于是就毫无顾虑的打开了。这时，入侵的不再是浏览器环境，而是能控制整个系统了。

防范措施：

如果是从浏览器里下载的程序，留意是否具有数字签名，正规的厂商几乎都会提供。如果想试用一些来路不明的小程序，保存到虚拟机里使用就放心多了。

未来 SPDY 技术普及的时候，就再不用担心网页劫持这些事。它将 HTTP 协议封装在加密的流量里传输，想劫持一个普通网页都很困难了。

结尾

暂时就说到这。事实上类似 XSS 的攻击方式还有很多，这里只谈了一些能和流量劫持配合使用的。利用上一篇讲述的各种劫持途径，配合本文提到的入侵方式，可以劫持不少用户了。下一篇，将演示如何利用这些原理，发起实战攻击。

(责任编辑：安博涛)