评测告诉你:那些免费代理悄悄做的龌蹉事儿

笔者2013年曾发表过一篇文章《免费代理服务器为何免费?》——文中提及代理服务器之所以免费,是因为其可以轻松浸染用户的上网行为并收集数据。而最新上线的Proxy Checker可以检测代理服务器的安全性。

后来,为了找到那些使用了文章中所述的免费代理服务器,我写了个极简单的脚本(实际就是一个PHP函数),从不同的位置请求获取Javascript文件并检测可修改的内容。

评测方法

如果你并不关心代码,请直接跳至检测结果。

< 检测脚本请点击最下方的“阅读原文”>

你可以用这个函数做各种分析:

·检查代理是否隐藏了你的IP,通过 http://ip.haschek.at 找到你的IP,然后你可以在参考数据中检查是否有与你的IP相同的;

·检查代理是否使用的https隧道传输(一种安全传输协议),如果不是,那可能是服务器拥有者想查看明文,然后从中提取数据;

·检查代理是否修改了静态网页(例如:添加广告)。

分析443个免费代理服务器

我从各种渠道获得了代理服务器的信息,但是我发现Google有通向所有网站的链接

我们需要检测什么

·是否使用了HTTPS? ·是否修改了JS内容? ·是否修改了静态网页? ·是否隐藏了我的IP?

评测结果

现在问题来了:75%的代理服务器是安全的?

仅仅因为一个代理服务器“不积极”地修改你的内容,这并不意味着它就是安全的。使用免费代理服务器的的唯一安全的方法就是如果HTTPS可用,你只访问实施HTTPS的站点即可。

只有21%代理服务器使用了HTTPS。

令人震惊的结果

出乎意料的是,会有如此多的代理禁止HTTPS流量。代理服务器这么做可能是因为他们想让你使用HTTP,这样它就能分析你的流量并窃取你的登录凭证了。

199个代理服务器中只有17个(8.5%)修改JS,他们中大多出都被注入了客户广告。但是其中只有两个是错误信息或者web过滤器警告。33个代理服务器(16.6%)活跃于修改静态HTML页面并且注入广告。

绝对的恶意广告,及可能存在cookie窃取。然而,笔者并没有进一步进行检测。

另一个广告注入代理服务器更加“精致”。他们页面的注入脚本如下:

<script type="text/javascript" charset="utf-8" mediaproAccountID="0" mediaproSlotID="0" usermac="" src="/7b26d4601fbe440b35e496a0fcfa15f7/00212600d7e6/w1/i.js" async="async" defer></script><meta charset="utf-8">

有趣的是,他们指向一个看起来像是本地的JS。当浏览器通过代理服务器请求这一文件,代理就会劫持请求然后回复一个受感染的JS。因为它和另一个相同,并非一个跨域JS链接。

如果你仍然认为自己有必要使用一个免费代理服务器,尝试使用一个HTTPS可用的,并且要访问安全的站点。

*参考来源:blog,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-06-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏翻译社

6个虚拟机备份和恢复的最佳实践

虚拟机的体系结构与传统的本地环境大不相同,需要不同的数据备份技术。本文将介绍一些备份虚拟机的最佳实践。

37560
来自专栏about云

hadoop,hbase,hive,zookeeper整合可行性分析及版本确定【续篇】

问题导读 1.如何确定什么版本是稳定版本? 2.本文是如何确定各个版本的? 3.hbase1.x与hive1.x什么情况下是兼容的? 前面一篇写过 had...

43390
来自专栏微服务生态

缓存系列文章--热点key问题

我们通常使用 缓存 + 过期时间的策略来帮助我们加速接口的访问速度,减少了后端负载,同时保证功能的更新,一般情况下这种模式已经基本满足要求了。   但是有两个...

12330
来自专栏Netkiller

Apache Ant 实现自动化部署

Apache Ant 实现自动化部署 这篇文章帮你解决下列问题: 源码获取,源码编译,处理配置文件,应用部署,远程备份,部署回撤,启动,服务器状态,停止 ---...

41440
来自专栏智能计算时代

服务网格:什么是Envoy(特使)

Envoy是专为大型现代服务导向架构设计的L7代理和通讯总线。该项目源于以下信念: 网络应该对应用程序是透明的。当网络和应用程序出现问题时,应该很容易确定问题的...

36060
来自专栏各种机器学习基础算法

npm下载报错情况的处理

npm是一个非常强大的包管理器,基本上前端需要的插件和框架在这上面都有,所以本人一直只用这个,其他的一律先忽视。然而使用npm时有时候会出现error以及无法下...

33880
来自专栏Rainbond开源「容器云平台」

【微服务】微服务实战(二):使用API Gateway

25240
来自专栏FreeBuf

我是如何通过CSRF拿到Shell的

织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前...

271100
来自专栏chenssy

微服务实战:使用API Gateway

当你决定将应用作为一组微服务时,需要决定应用客户端如何与微服务交互。在单体式程序中,通常只有一组冗余的或者负载均衡的服务提供点。在微服务架构中,每一个微服务暴露...

22310
来自专栏Jackson0714

WCF安全1-开篇

38480

扫码关注云+社区

领取腾讯云代金券