Home Sign Up Sign In
baskice
V2EX  ›  问与答

最近是出现了能绕过 HTTPS 的广告劫持方法吗?

  •   
  •   baskice · Apr 12, 2017 · 5111 views
    This topic created in 3342 days ago, the information mentioned may be changed or developed.
    最近陆续有用户反应网站出现悬浮劫持的广告,手机端特别严重。 而且出现这个问题的用户表示除了 bat 三家大厂以外的 app 几乎都有相同劫持广告,甚至游戏里的公告联网都会被插广告。

    我的站点已经全部强制 https ,现在有新方法插广告能绕过 HTTPS ?
  • 劫持
  • 广告
  • bat
  • 大厂
    24 replies    2017-04-13 18:54:14 +08:00
    kindjeff
        1
    kindjeff  
       Apr 12, 2017
    他自己的手机中毒了吧
    baskice
        2
    baskice  
    OP
       Apr 12, 2017
    @kindjeff 你是怀疑用户手机被恶意程序感染直接从内部插广告吗?有可能……
    mdzz
        3
    mdzz  
       Apr 12, 2017
    「手机端特别严重」的意思是 PC 端也出现了劫持?
    czc2004211
        4
    czc2004211  
       Apr 12, 2017 via iPhone
    我也遇到了
    电脑去斗鱼 给我跳到页游地址
    Shura
        5
    Shura  
       Apr 12, 2017 via Android
    http 降级攻击?
    shoaly
        6
    shoaly  
       Apr 12, 2017   ❤️ 1
    也有可能是客户的手机 信任了一个 不应该被信任的 CA 证书机构, 签发了你域名的假证书....
    RobertYang
        7
    RobertYang  
       Apr 12, 2017 via Android
    确认使用了 HSTS 并生效了吗
    fstab
        8
    fstab  
       Apr 12, 2017 via Android
    四川联通已经出现了, https 劫持京东热卖,巧取豪夺推广京东联盟推广者返利。
    BOYPT
        9
    BOYPT  
       Apr 13, 2017 via Android
    页面有 http 的 js 资源吧
    lyhiving
        10
    lyhiving  
       Apr 13, 2017 via Android
    看运营商
    phlips5437
        11
    phlips5437  
       Apr 13, 2017
    看运营商 +1

    上海电信也是出现过这类情况,电话客服说明情况后,确认不要收到广告,然后就再也没有出现过
    des
        12
    des  
       Apr 13, 2017 via Android
    @BOYPT 你可以自己试一下,随便什么浏览器都可以,你看会出现什么
    DesignerSkyline
        13
    DesignerSkyline  
       Apr 13, 2017 via Android
    Content-Security-Policy 仅允许本站资源呢?这样如果还能被劫持插广告,就可以发密码学奖了吧
    Miy4mori
        14
    Miy4mori  
       Apr 13, 2017 via iPhone
    不知道和 dns 劫持有没有关系
    yuluofanchen
        15
    yuluofanchen  
       Apr 13, 2017 via Android
    淘宝已经出现,自动跳转到淘宝热卖
    techyan
        16
    techyan  
       Apr 13, 2017
    应该是被插了第三方 HTTP 的 JS 。同 #9 。印象里,有些浏览器会默认拦截,但是有些不会,尤其是移动端。
    morethansean
        17
    morethansean  
       Apr 13, 2017
    @yuluofanchen 访问淘宝主页被自动跳转?
    glasslion
        18
    glasslion  
       Apr 13, 2017
    哪些平台, 全是 android 的话, 八成是悬浮窗。和劫持没关系
    Quaintjade
        19
    Quaintjade  
       Apr 13, 2017 via Android
    看了 LZ 的网站,没有非 HTTPS ,配置也是强健的
    https://www.ssllabs.com/ssltest/analyze.html?d=zh.moegirl.org

    如果不是手机端中毒,也有可能:
    页面加载的某些第三方资源出卖了你; CDN 缓存的东西被篡改,或者回源过程中被劫持。
    yuluofanchen
        20
    yuluofanchen  
       Apr 13, 2017 via Android
    @morethansean 是的,跳转到爱淘宝这个页面。
    morethansean
        21
    morethansean  
       Apr 13, 2017
    @yuluofanchen 浏览器名称以及版本? Chrome 的话注意 不要安装任何插件进行测试,已经有很多已知恶意插件了……
    morethansean
        22
    morethansean  
       Apr 13, 2017
    @yuluofanchen 另外如果是手打 taobao.com 的话……可能直接就会被劫持,如果 http://taobao.com 没被劫持,他会转跳 http://www.taobao.com ,这个时候还可能被劫持……

    不过这劫持楼主说的悬浮广告不是一个概念了……悬浮广告肯定是有别的问题……
    exoticknight
        23
    exoticknight  
       Apr 13, 2017
    觉得不太可能,不然就太恐怖了
    Quaintjade
        24
    Quaintjade  
       Apr 13, 2017 via Android
    @Quaintjade
    刚没注意, ipv6 虽然是 A+,但 ipv4 是 F
    https://www.ssllabs.com/ssltest/analyze.html?d=zh.moegirl.org&s=119.29.48.35
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   853 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 61ms · UTC 21:28 · PVG 05:28 · LAX 14:28 · JFK 17:28
    ♥ Do have faith in what you're doing.