記一例「特殊」的運營商流量劫持強彈廣告案例診斷

由於沒有上HTTPS，國內最大的政府網站疑似遭遇流量劫持，被惡意彈窗涉嫌色情的廣告。

一份網上傳播的文檔截圖中記錄了整個事件經過。在這份《關於xx院app中h5頁面彈出廣告的專題會議紀要與診斷建議》中顯示，5月10日晚上，有用戶向xx日報反饋，在訪問其運營維護的xx院APP/測一測時出現疑似色情廣告。

經過緊急排查，當晚xx日報技術部排除源站數據被篡改的可能，初步診斷得出為當地運營商HTTP劫持所致。

第二天一早緊急會議討論後，他們繼續調查驗證，主要包括兩個方面：聯繫反饋用戶復現問題場景；聯合第三方安全公司排查源網站數據、平台是否遭到攻擊、存在漏洞，排查CDN數據是否遭到劫持。

調研到的用戶反饋情況看起來比較複雜，涉及江蘇徐州、河南南陽、新疆克拉瑪依三地，電信、移動的WiFi網路和移動4G網路，以及Android、蘋果手機。出現廣告的均為H5頁面，主要集中在「測一測」活動頁面上，也有APP里其它H5頁面。

同時，第三方安全專家排查源網站、伺服器、CDN未發現問題。綜合多方排查，基本確定為用戶當地運營商HTTP劫持導致H5頁面被插入廣告。

HTTP注入

從報告描述來看，這可能是目前網路劫持中非常盛行的HTTP注入。用戶訪問正常網站過程中，鏈路層面的某一方偷偷動了手腳，在網頁的數據包中注入了廣告彈窗代碼。大家手機流量上網時經常能看到一個圓圓的流量球，顯示你的剩餘流量，這就是典型的HTTP注入行為。

HTTP注入的危害不止是彈個小廣告窗口這麼簡單，它還可以被用作流量暗刷、投放病毒。記得一年前某地方運營商不知怎麼接了個木馬廣告，這個木馬帶著Flash高危漏洞利用工具，沒升級的電腦打一個準一個。就算你主動升級了，你安裝的軟體帶著舊版Flash插件，也會中招。當時投放一輪，攻擊代碼的訪問量超過千萬獨立用戶，本地的英雄聯盟遊戲用戶一片哀嚎，因為英雄聯盟里正用著舊版Flash插件。

抓包驗證

另外，我不知道大水有沒有沖龍王廟，但如果這份報告是一家普通企業寫的，恐怕他們是沒法叫停劫持行為的。

雖然報告的診斷過程脈絡清晰，有板有眼的，但它缺少了最關鍵的一環——抓包驗證。所有的劫持行為，都可以在數據包層面觀測到，也只有這個層面上才能作為證據。比如15年的一個京東案例中，騰訊安全的人抓包分析定位到搞小動作的路由，以圖文並茂的形式把結果報給深圳電信，最後解決了問題。要是沒實打實的證據，企業網站被劫持，運營商才不鳥人呢。

當然，裡邊也有可取之處。比如應對預案中講到：「如定位為運營商劫持，將儘快啟動APP及H5頁面的HTTPS改造事宜」。希望報告是真的，相關方面能儘快落實，給出正面的宣傳案例出來。

文檔截圖還是不放了，昨天早上有人微博發了被@來往之間（新浪微博CEO）轉發，後來來總的微博都找不到了，我害怕…

本文為嘶吼編輯原創，如若轉載，請註明原文地址：t記一例「特殊」的運營商流量劫持強彈廣告案例診斷 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：