对301重定向到HTTPS前遭遇中间人攻击的分析

最新推荐文章于 2024-08-19 01:56:44 发布
最新推荐文章于 2024-08-19 01:56:44 发布
阅读量5.4k 收藏 2
点赞数 2
分类专栏: 网络优化技术 文章标签: 安全 中间人攻击 HTTPS 307 301
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuyiquan/article/details/72654247
版权
全站HTTPS后,通过301重定向保护用户安全,但中间人攻击仍可能发生。分析了一次实际发生的中间人攻击案例,攻击者篡改301响应,引导用户至推广页面。建议采用HSTS策略和307 Internal Redirect增强安全性。
摘要由CSDN通过智能技术生成

由于不能改变用户的输入习惯,很多网站在实现全站HTTPS后,选择通过配置强制301的方式让用户的http请求重定向到https,以保障网站的安全性。然而,在用户发起http请求的时候,仍然存在有中间人攻击的风险,这种方案并非是绝对安全的。下面就结合我们最近亲历的一次中间人攻击,来深入分析下这种劫持行为。
事情的起因,是当我们实现全站HTTPS后,对核心页面都部署了监控任务来分析页面的劫持情况。我们惊讶的发现,虽然劫持率有大幅度的下降,然而仍然存在零星的劫持现象。如下图所示,拨测访问http://www.suning.com/并没有按我们预期的那样301重定向到https://www.suning.com/。而是被302临时重定向到了另一个流量页面。
这里写图片描述
于是,我们下载了拨测中的抓包文件,进行了分析。如下图所示,是发生劫持的TCP流。
这里写图片描述
这里写图片描述
过滤出对应的HTTP流如下所示:
这里写图片描述
很明显,在客户端和服务端通信的链路上发生了中间人攻击,中间人在服务端响应返回之前迅速返回给客户端一个恶意的报文,报文内容是

http://101.201.79.5:12224/dsgeneral?c=suning1&u=https%3A%2F%2Fsucs.suning.com%2Fvisitor.htm%3FuserId%3D29792464%26webSiteId%3D1800%26adInfoId%3D0%26adBookId%3D104049%26channel%3D14%26vistURL
最低0.47元/天 解锁文章
皖南笑笑生
关注
专栏目录
http如何全站301重定向https
ytakcc的专栏
08-24 589
对于301重定向这一概念玩SEO的同志们都不陌生了,近些年来https协议越来越火,谷歌已经明确了使用https相对http来说会有更好的排名,再加上百度大大已经明确了对https的扶持政策,老威现在做的网站已经都往https上发展了,但是对于我们目的seo圈子来说使用https的人还真是不算太多。 昨天刚申请到一个SSL协议证书,绑定之后,全站http往https重定向的时候出现一个问题,就是smddw.com能够跳转到https://www.smddw.com,www.smddw.com也能够.
301跳转 https_http如何全站301重定向https
weixin_39611506的博客
12-21 436
对于301重定向这一概念玩SEO的同志们都不陌生了,近些年来https协议越来越火,谷歌已经明确了使用https相对http来说会有更好的排名,再加上百度大大已经明确了对https的扶持政策,老威现在做的网站已经都往https上发展了,但是对于我们目的seo圈子来说使用https的人还真是不算太多。昨天刚申请到一个SSL协议证书,绑定之后,全站http往https重定向的时候出现一个问题,就是l...
什么是URL 重定向攻击
最新发布
m0_57836225的博客
08-19 979
在 Spring Boot 代码中的 `/unsafeRedirect` 端点: 当用户访问这个端点并提供了一个 `url` 参数作为重定向的目标时,如果没有对用户输入的这个 `url` 参数进行严格的验证和过滤,攻击者可以构造一个恶意的 `url` 值。如果用户被诱骗输入了一个恶意网址(例如一个用于网络钓鱼或传播恶意软件的网址),然后点击确定,页面将立即被重定向到这个恶意网址,用户可能在不知情的情况下陷入危险,比如被窃取个人信息、遭受欺诈或者设备被感染恶意软件。用户在这里可以输入任何网址,包括恶意网址。
301跳转 https_详解百度https认证提示"请将您的http站点301重定向https站点"的解决办法...
weixin_39524574的博客
01-15 1226
最近想把一个网站改造成https访问,但是一些都做好了,去百度站长平台认证https,结果怎么提交都是出现“请将您的http站点301重定向https站点”,在百度站长社区提问也没有人回答,最后只能自己摸索。后面找到了原因:原来百度的https认证是严格遵守301重定向的,我用的是iis6,之的代码为:RewriteEngine OnRewriteCond %{SERVER_PORT} !^4...
异常情形的301重定向导致AWS安全凭证泄露
nuaa_llf的博客
06-20 1667
异常情形的301重定向导致AWS安全凭证泄露 大家好, 本文记录了我最近渗透的一段经历,也是我漏洞奖金之旅中遇到的最奇葩有趣的重定向漏洞了,利用它我可以访问印度顶尖金融公司的AWS EC2凭证信息。接下来介绍我如何从一个不寻常的重定向发现远程文件包含漏洞(RFI),再把它提升为服务端请求伪造漏洞(SSRF)并最终获取AWS EC2的凭证。 最近我一直在研究ASP.NET应用的路由原理——每条UR...
http自动跳转到https301重定向的设置方法
github_37759996的博客
01-24 2786
设置方法如下: 在网站根目录下创建 .htaccess 文件,如果目录下已经有 .htaccess 文件,用代码编辑器打开,在最下面添加写入如下301重定向规则语句即可: RewriteEngine on RewriteBase / RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R=301] ...
中间人攻击抓包
05-23
301重定向HTTPS遭遇中间人攻击的抓包分析
【进阶】中间人攻击与防御措施
ARP欺骗是一种中间人攻击,攻击者通过向网络上的主机发送伪造的ARP回复,冒充另一台主机,从而截取网络流量。攻击者通过发送包含其MAC地址和目标主机IP地址的ARP回复,欺骗网络上的其他主机,使这些主机将网络流量...
网络安全--入侵攻击类型
weixin_43774199的博客
09-13 4423
课程目标:这节课我们来介绍入侵攻击中的类型,了解入侵攻击中一般存在的入侵攻击类型。 任务目标:通过对这节的学习,能够了解熟悉入侵攻击类型中的常见类型,常见类型中的入侵技术。 1.入侵攻击类型介绍 随着计算机网络的飞速发展,网络信息的安全问题也日渐突出,它已经成为了计算机领域的一个重大课题。现阶段,网络攻击的手段花样不断更新,层出不穷,大致来说,可以分为如下六类:信息收集型攻击、访问类攻击、Web攻击、拒绝服务类攻击、病毒类攻击、溢出类攻击。 2.侦察/信息收集型 侦察是未授权的发现和扫描系统、服务
因为网站使用的是 hsts。网络错误和攻击通常是暂时的,因此该页面以后可能会恢复正
10-01
使用HSTS可以增强网站的安全性,减少被中间人攻击、信息窃取和其他网络安全威胁的风险。 当你访问该页面时遇到问题,可能是由于一些临时的网络故障或攻击导致的,但是由于网站启用了HSTS,你可以相信这个问题只是...
HTTP 301错误:永久重定向,大勇的冒险之旅
weixin_73725158的博客
12-14 781
那天,我像往常一样,打开我的代码编辑器,准备开始一天的工作。这可把我给急坏了,我的网站可是要给用户提供服务的,这可不能出问题!经过一番查找,我终于找到了问题的原因——原来是我的网站被重定向到了另一个域名!我立刻联系了我的网站管理员,告诉他们这个问题。他们告诉我,这个问题是因为网站的DNS设置出现了问题,导致网站被重定向到了另一个域名。于是,我开始了我的冒险之旅。于是,我开始修改DNS设置,将网站的域名重新指向正确的IP地址。如果你也遇到了类似的问题,不妨试试我的方法,或许能够帮到你哦!
部署https(ssl)后设置301跳转将http跳转到https
wwwwestcn的博客
11-18 2457
注意,以下教程针对我司虚拟主机或者亚数的云主机香港IP部署SSL后的301跳转(非亚数机房需要注意规则中行替换),把规则中域名替换成自己的域名。 wordpress程序请参考:虚拟主机WordPress部署SSL注意事项(301跳转) -西部数码帮助中心 根据自己使用环境点击查看对应规则: 1、云主机(apache) 2、虚拟主机linux系统 3、云主机(nginx) 4、弹性云windows系统(iis7) 5、虚拟主机windows系统 6、弹性云windows系统(iis6) .
nginx将http请求转发到https,使用RestTemplate无法跳转,301错误解决
可爱猪猪
04-13 4073
网站添加了https证书后,当http方式访问网站时就会报404错误,所以需要做http到https的强制跳转设置. 一、采用nginx的rewrite方法# 1) 下面是将所有的http请求通过rewrite重写到https上。 例如将所有的dev.wangshibo.com域名的http访问强制跳转到https。 下面配置均可以实现: 配置1: server { listen 80; server_name dev.wangshibo.com; i...
301重定向存在的问题
NB1999的博客
03-29 1250
问题描述:系统中需要将http的页面重定向https页面。此功能的由服务器配置来实现较为简单。但是系统中能够修改访问系统的端口号,当修改了https访问的端口号后,再通过http去访问页面。此时浏览器自动判断http请求需要重定向并且是301状态码(此时请求根本没到达服务器)。浏览器认为是301状态码,直接从缓存读取到了重定向的目标地址(也就是https地址)。但是这个时候的https端口号已经修改,导致访问不到系统。清理浏览器缓存后才能访问系统。 解决思路:禁止浏览器缓存 实现: 1.给页面添加m
linux连接http报301解决,https下不加www的301强制跳转
weixin_39654322的博客
05-15 477
不少浏览器都开始逐渐更新至只支持https的网站,所以很多http网站都需要添加对https的支持,这时就需要涉及到www和不加www的跳转问题,由于www和不加www使用的是不同的证书,所以需要做301跳转处理,方案如下:此处以域名www.linuxidc.com和testhttps.com为例,修改Nginx配置文件中www.linuxidc.com对应的配置文件:server {listen...
302状态码_重定向的理解301,302
weixin_39682511的博客
11-27 2165
一直对状态码的理解,只有一个简单的概念。301是永久重定向,302是临时重定向。但这两个重定向是什么意思,分别用在什么业务场景,则完全不知道。然后被人鄙视一脸。1 首先说概念301,永久重定向:在请求的URL已被移除时使用,响应的location首部中应包含资源现在所处的URL302,临时重定向:和永久重定向类似,客户端应用location给出URL临时定位资源,将来的请求仍为原来的URL。大概说...
CentOS 上部署Nginx实现http301重定向https配置文件conf
owenzhang的博客
10-22 962
​小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。 cd /etc/nginx/conf.d vim Testpage1.conf server { listen 443 ssl; #配置HTTPS的默认访问端口号为443。此处如果未配置HTTPS的默认访问端口,可能会造成Nginx无法启动。Nginx 1.15.0以上版本请使用listen 443 ssl代替list...
301 Moved Permanently:了解HTTP永久重定向错误码
热门推荐
博客
08-14 2万+
301 Moved Permanently是HTTP状态码中表示永久重定向的一种。当服务器返回这个状态码时,它告诉客户端请求的资源已经被永久移动到了一个新的URL上,并且以后的请求应该使用新的URL。这个状态码主要用于网站重构、更换域名或者更改URL结构等情况下,确保旧的URL能够正确地指向新的位置。永久重定向是一种HTTP重定向技术,用于将一个URL永久地指向到另一个URL。当服务器返回301 Moved Permanently状态码时,客户端会自动将请求的URL替换为新的URL,并发送新的请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值