对301重定向到HTTPS前遭遇中间人攻击的分析

最新推荐文章于 2024-04-29 16:41:34 发布
最新推荐文章于 2024-04-29 16:41:34 发布
阅读量5.3k 收藏 2
点赞数 2
分类专栏: 网络优化技术 文章标签: 安全 中间人攻击 HTTPS 307 301
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuyiquan/article/details/72654247
版权

由于不能改变用户的输入习惯,很多网站在实现全站HTTPS后,选择通过配置强制301的方式让用户的http请求重定向到https,以保障网站的安全性。然而,在用户发起http请求的时候,仍然存在有中间人攻击的风险,这种方案并非是绝对安全的。下面就结合我们最近亲历的一次中间人攻击,来深入分析下这种劫持行为。
事情的起因,是当我们实现全站HTTPS后,对核心页面都部署了监控任务来分析页面的劫持情况。我们惊讶的发现,虽然劫持率有大幅度的下降,然而仍然存在零星的劫持现象。如下图所示,拨测访问http://www.suning.com/并没有按我们预期的那样301重定向到https://www.suning.com/。而是被302临时重定向到了另一个流量页面。
这里写图片描述
于是,我们下载了拨测中的抓包文件,进行了分析。如下图所示,是发生劫持的TCP流。
这里写图片描述
这里写图片描述
过滤出对应的HTTP流如下所示:
这里写图片描述
很明显,在客户端和服务端通信的链路上发生了中间人攻击,中间人在服务端响应返回之前迅速返回给客户端一个恶意的报文,报文内容是

http://101.201.79.5:12224/dsgeneral?c=suning1&u=https%3A%2F%2Fsucs.suning.com%2Fvisitor.htm%3FuserId%3D29792464%26webSiteId%3D1800%26adInfoId%3D0%26adBookId%3D104049%26channel%3D14%26vistURL
最低0.47元/天 解锁文章
皖南笑笑生
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http如何全站301定向到https
ytakcc的专栏
08-24 570
对于301定向这一概念玩SEO的同志们都不陌生了,近些年来https协议越来越火,谷歌已经明确了使用https相对http来说会有更好的排名,再加上百度大大已经明确了对https的扶持政策,老威现在做的网站已经都往https上发展了,但是对于我们目的seo圈子来说使用https的人还真是不算太多。 昨天刚申请到一个SSL协议证书,绑定之后,全站http往https定向的时候出现一个问题,就是smddw.com能够跳转到https://www.smddw.com,www.smddw.com也能够.
详解百度https认证提示"请将您的http站点301定向到https站点"的解决办法
09-30
对于301定向这一概念玩SEO的同志们都不陌生了,近些年来https协议越来越火,百度大大已经明确了对https的扶持政策,这篇文章主要介绍了详解百度https认证提示"请将您的http站点301定向到https站点"的解决办法...
301跳转 https_http如何全站301定向到https
weixin_39611506的博客
12-21 423
对于301定向这一概念玩SEO的同志们都不陌生了,近些年来https协议越来越火,谷歌已经明确了使用https相对http来说会有更好的排名,再加上百度大大已经明确了对https的扶持政策,老威现在做的网站已经都往https上发展了,但是对于我们目的seo圈子来说使用https的人还真是不算太多。昨天刚申请到一个SSL协议证书,绑定之后,全站http往https定向的时候出现一个问题,就是l...
http请求被307到https
最新发布
偏执
04-29 279
再访问 http://a.com, 该网页 JS 会请求 http://api.a.com, 但是查看网络请求发现,http://api.a.com 被强制 307 到了 https://api.a.com。那就是你曾经访问过该网址的 https 链接(当然可以通过清除浏览器历史记录来骗过浏览器,但你的用户可能不知道这个操作)先访问 https://a.com, 该网页 JS 会请求 https://api.a.com 接口。一切能通过 https 访问的网址,都用 https 来访问。
301跳转 https_详解百度https认证提示"请将您的http站点301定向到https站点"的解决办法...
weixin_39524574的博客
01-15 1178
最近想把一个网站改造成https访问,但是一些都做好了,去百度站长平台认证https,结果怎么提交都是出现“请将您的http站点301定向到https站点”,在百度站长社区提问也没有人回答,最后只能自己摸索。后面找到了原因:原来百度的https认证是严格遵守301定向的,我用的是iis6,之的代码为:RewriteEngine OnRewriteCond %{SERVER_PORT} !^4...
异常情形的301定向导致AWS安全凭证泄露
nuaa_llf的博客
06-20 1640
异常情形的301定向导致AWS安全凭证泄露 大家好, 本文记录了我最近渗透的一段经历,也是我漏洞奖金之旅中遇到的最奇葩有趣的定向漏洞了,利用它我可以访问印度顶尖金融公司的AWS EC2凭证信息。接下来介绍我如何从一个不寻常的定向发现远程文件包含漏洞(RFI),再把它提升为服务端请求伪造漏洞(SSRF)并最终获取AWS EC2的凭证。 最近我一直在研究ASP.NET应用的路由原理——每条UR...
http自动跳转到https301定向的设置方法
github_37759996的博客
01-24 2735
设置方法如下: 在网站根目录下创建 .htaccess 文件,如果目录下已经有 .htaccess 文件,用代码编辑器打开,在最下面添加写入如下301定向规则语句即可: RewriteEngine on RewriteBase / RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R=301] ...
详解nginx服务器http定向到https的正确写法
09-30
本篇文章主要介绍了nginx服务器http定向到https的正确写法 ,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Express的HTTP定向到HTTPS的方法
08-27
本篇文章主要介绍了Express的HTTP定向到HTTPS的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
301定向实现方法,及对网站优化的作用
09-30
301定向(也叫301转向,301跳转)对网站优化所起的作用是不可忽视的,尤其是针对SE(搜索引擎)处理网站页面权的时候,更加显得要。网站换了新域名,默认首页需要跳转等,从SEO角度来说,我们都建议使用301...
HTTP 301错误:永久定向,大勇的冒险之旅
weixin_73725158的博客
12-14 719
那天,我像往常一样,打开我的代码编辑器,准备开始一天的工作。这可把我给急坏了,我的网站可是要给用户提供服务的,这可不能出问题!经过一番查找,我终于找到了问题的原因——原来是我的网站被定向到了另一个域名!我立刻联系了我的网站管理员,告诉他们这个问题。他们告诉我,这个问题是因为网站的DNS设置出现了问题,导致网站被定向到了另一个域名。于是,我开始了我的冒险之旅。于是,我开始修改DNS设置,将网站的域名新指向正确的IP地址。如果你也遇到了类似的问题,不妨试试我的方法,或许能够帮到你哦!
部署https(ssl)后设置301跳转将http跳转到https
wwwwestcn的博客
11-18 2441
注意,以下教程针对我司虚拟主机或者亚数的云主机香港IP部署SSL后的301跳转(非亚数机房需要注意规则中行替换),把规则中域名替换成自己的域名。 wordpress程序请参考:虚拟主机WordPress部署SSL注意事项(301跳转) -西部数码帮助中心 根据自己使用环境点击查看对应规则: 1、云主机(apache) 2、虚拟主机linux系统 3、云主机(nginx) 4、弹性云windows系统(iis7) 5、虚拟主机windows系统 6、弹性云windows系统(iis6) .
nginx将http请求转发到https,使用RestTemplate无法跳转,301错误解决
可爱猪猪
04-13 3928
网站添加了https证书后,当http方式访问网站时就会报404错误,所以需要做http到https的强制跳转设置. 一、采用nginx的rewrite方法# 1) 下面是将所有的http请求通过rewrite写到https上。 例如将所有的dev.wangshibo.com域名的http访问强制跳转到https。 下面配置均可以实现: 配置1: server { listen 80; server_name dev.wangshibo.com; i...
301定向存在的问题
NB1999的博客
03-29 1211
问题描述:系统中需要将http的页面定向到https页面。此功能的由服务器配置来实现较为简单。但是系统中能够修改访问系统的端口号,当修改了https访问的端口号后,再通过http去访问页面。此时浏览器自动判断http请求需要定向并且是301状态码(此时请求根本没到达服务器)。浏览器认为是301状态码,直接从缓存读取到了定向的目标地址(也就是https地址)。但是这个时候的https端口号已经修改,导致访问不到系统。清理浏览器缓存后才能访问系统。 解决思路:禁止浏览器缓存 实现: 1.给页面添加m
linux连接http报301解决,https下不加www的301强制跳转
weixin_39654322的博客
05-15 435
不少浏览器都开始逐渐更新至只支持https的网站,所以很多http网站都需要添加对https的支持,这时就需要涉及到www和不加www的跳转问题,由于www和不加www使用的是不同的证书,所以需要做301跳转处理,方案如下:此处以域名www.linuxidc.com和testhttps.com为例,修改Nginx配置文件中www.linuxidc.com对应的配置文件:server {listen...
302状态码_定向的理解301,302
weixin_39682511的博客
11-27 2126
一直对状态码的理解,只有一个简单的概念。301是永久定向,302是临时定向。但这两个定向是什么意思,分别用在什么业务场景,则完全不知道。然后被人鄙视一脸。1 首先说概念301,永久定向:在请求的URL已被移除时使用,响应的location首部中应包含资源现在所处的URL302,临时定向:和永久定向类似,客户端应用location给出URL临时定位资源,将来的请求仍为原来的URL。大概说...
CentOS 上部署Nginx实现http301定向https配置文件conf
owenzhang的博客
10-22 941
​小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。 cd /etc/nginx/conf.d vim Testpage1.conf server { listen 443 ssl; #配置HTTPS的默认访问端口号为443。此处如果未配置HTTPS的默认访问端口,可能会造成Nginx无法启动。Nginx 1.15.0以上版本请使用listen 443 ssl代替list...
301 Moved Permanently:了解HTTP永久定向错误码
热门推荐
博客
08-14 1万+
301 Moved Permanently是HTTP状态码中表示永久定向的一种。当服务器返回这个状态码时,它告诉客户端请求的资源已经被永久移动到了一个新的URL上,并且以后的请求应该使用新的URL。这个状态码主要用于网站构、更换域名或者更改URL结构等情况下,确保旧的URL能够正确地指向新的位置。永久定向是一种HTTP定向技术,用于将一个URL永久地指向到另一个URL。当服务器返回301 Moved Permanently状态码时,客户端会自动将请求的URL替换为新的URL,并发送新的请求。
Nginx 301 https跳转后出现跨域和混合内容问题 —— 筑梦之路
筑梦之路
07-24 1733
在浏览器地址栏敲入url访问静态资源目录时,发现默认跳转到了http协议的地址如上图所示,客户端https请求先到达API网关,然后网关将请求通过http协议转发到静态资源服务器。调出浏览器发现客户端发送的https请求收到了一个301状态码的响应,并且响应头中的Location字段便是跳转到的http协议的地址。
二级目录301定向https域名
06-08
以下是一个通用的 .htaccess 规则,可以实现二级目录 301 定向到 https 域名: ``` RewriteEngine On RewriteCond %{HTTPS} off [OR] RewriteCond %{HTTP_HOST} !^www\. [NC] RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC] RewriteRule ^ https://%1%{REQUEST_URI} [L,NE,R=301] RewriteCond %{REQUEST_URI} !^/subdirectory/ RewriteRule ^(.*)$ https://example.com/subdirectory/$1 [R=301,L] ``` 解释一下这个规则: - 第一行开启 RewriteEngine。 - 第二行指定只在 HTTPS 协议未开启或者域名不是以 www 开头时进行定向。 - 第三行匹配并提取主机名,去掉 www 缀(如果有的话)。 - 第四行将请求定向到提取出的主机名和请求 URI 的 HTTPS 地址。 - 第五行指定不定向 /subdirectory/ 下的所有请求。 - 第六行指定所有请求定向到 https://example.com/subdirectory/ 下。 请根据你的实际情况修改 `example.com` 和 `/subdirectory/` 为你的域名和二级目录名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值