HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    技术文档

某次流量劫持分析过程

  •   EvilGod ·2018-1-10 17:16:58·878 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    作者:yym
    原文地址:https://secvul.com/topics/884.html

    0x01 流量劫持现象
    • 最近发现通过域名(*.example.com.cn)访问网站时,发现有被恶意植入的广告内容。
    • 通过排查服务器端,并未发现有被恶意植入的篡改广告内容。
    • 不同地域访问,有些地域有被插入的恶意广告内容,而有些地域就没有(比如:广州、深圳、北京)。
    • 所以初步分析是在流量传输过程中被劫持篡改了(之前处理过几起其他机构/企业的劫持流量案例)。
    1) 针对上面的初步分析猜测,分析访问时所有的流量过程,发现了一个可疑的地方,当访问 http://hm.baidu.com/a.js 时,被重定向(302)了,如下图:

    2)然后通过分析重定向的地址又被重定向到了 https://a.yellqu.com 网站,如下图:

    3)通过分析此js文件返回的内容,判断是个广告的精准营销相关内容,如下图:

    4)然后再去域名上 a.qnroad.com 服务器上获取具体的广告内容,如下图:

    看右侧部分的代码,可看出,通过添加了好多 iframe 节点元素,插入了大量的广告,刚好和前端页面的广告页面吻合。
    0x02 分析总结
    此次分析,最困难的就是怎么定位到第一个被劫持的访问请求,这是个体力活(若谁有高级的工具或技巧,欢迎来交流),
    通过在正常地域(即访问无广告)和异常地域(即访问有广告)对比分析,正常地域的流量一切正常,而异常地域的流量内容,被发生了重定向,对比分析得出为流量劫持。
    解决方案,大家都懂的。

    878 次点击  
    收藏  转播  分享
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   215 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-7-22 12:55, Processed in 0.041554 second(s), 18 queries .