你可知道流量劫持都有哪些方式.这些必须知道的网络安全知识！

你可知道流量劫持都有哪些方式.这些必须知道的网络安全知识！

大家好，小编又来给大家普及网络知识啦！你可知道流量劫持都有哪些方式？这些必须知道的网络安全知识！离线储存投毒；不过，有些网站使用的都是很短的缓存，上述的入侵方式似乎就无能为力了。不过，HTML5 时代带来了一项新的缓存技术 —— 离线储存。由于它没有过期时间，因此适用于任意网页的投毒！类似的，当用户触发了我们的注入脚本之后，我们创建一个隐形的框架页，加载被感染的网页。同样，通过流量劫持，我们返回一个简单的页面，里面包含一个带有 manifest 属性的 HTML 文档，以及后期运行的脚本。由于通过隐藏框架访问了这个页面，用户并不知情，但尽职的浏览器却将其缓存起来。未来，用户打开被感染的网页时，浏览器直接从离线储存里取出，其中布置的脚本因此触发。由于是个空白页面，因此需要填充上真实的网站内容。最简单的方法，就是嵌套一个原页面的框架，并在 URL 里加上随机数，确保是最新的在线内容。因为嵌套的是同域框架，最终仍能被入侵脚本所控制。

不过，离线存储投毒的后期影响会小一些。未来用户在安全的网络里打开页面时，浏览器会再次请求 .appcache 文件。由于这个文件并不一定存在，因此浏览器很可能删除掉离线数据。理论上说只有一次的触发机会，但它没有过期时间，适用于任意 HTTP 页面投毒。防范措施：在不安全的场合，尽量使用『隐身模式』浏览网页。例如 Chrome 里按 Ctrl+Shift+N 就能调出，可将自己处于隔离的沙盒里。

FireFox 浏览器存储离线文件时，会有用户交互提示，提醒用户是否有这必要。也许不久后，框架页面不再被离线储存所接受，新标准随时都有可能改变。但 HTTP 缓存投毒是协议栈的缺陷，因此很难防范，下一篇会发现实际入侵效果非常理想。使用 HTTPS 能否避免劫持？如果从密码学的角度来说，使用了 SSL 加密的数据确实难以破解，更不用谈修改了。然而，惹不起但总躲得起吧。虽然无法破解，但流量仍掌握在自己手中，走哪条路还是由我说的算，完全可以绕过你。

搜索引擎劫持；事实上，HTTPS 站点还有个很大的来源 —— 搜索引擎。遗憾的是，国产搜索引擎几乎都不提供 HTTPS 服务。因此在不安全的网络里，搜索结果是不具备任何权威的。防范措施：重要的网站必定使用 HTTPS 协议，登陆时需格外留意。国外的大型网站几乎都提供 HTTPS 服务，甚至是默认的标准。相比国内只有少数重要的服务才使用，绝大多数的信息都是在明文传输。这是为了方便什么来着，你猜。流量劫持能否控制我电脑？如果不考虑一些浏览器安全漏洞，理论上说网页与系统是完全隔离的，因此无需担心系统受到影响。

钓鱼插件；有时为了能让网页获得更多的在线能力，安装插件必不可少，例如支付控件、在线播放器等等。在方便使用的同时，也埋下了安全隐患。如果是一些小网站强迫用户安装插件的，大家几乎都是置之不理。但若一些正规的大网站，提示用户缺少某些插件，并且配上一些专业的提示，相信大多都会选择安装。而这一切，通过被注入的攻击脚本完全能办到。不过，正规的插件都是有完整的数字签名的，而伪造的很难躲过浏览器的验证，会出现各种安全提示。因此，攻击者往往使用直接下载的方式，提示用户保存并打开安装包。

页面提权；现在越来越多的应用程序，选择使用内嵌网页来简化界面的开发，在移动设备上更是普遍。通常为了能让页面和客户端交互，赋予一些本地程序的接口供调用，因此具有了较高的权限。不过，正常情况下嵌入的都是受白名单限制的可信页面，因此不存在安全隐患。然而在被劫持的网络里，一切明文传输的数据都不再具备可信度。同样的脚本注入，就能获得额外的权限了。一些带有缺陷的系统，攻击脚本甚至能获得出乎意料的能力。通过之前提到的网页缓存投毒，这颗埋下的地雷随时都有可能触发。

下载程序；即使上网从不安装插件，但是下载程序还是经常需要的。由于大多数的下载网站，使用的都是 HTTP 流量，因此劫持者能轻易的修改可执行文件，将其感染上病毒或木马，甚至完全替换成另一个程序。用户总认为从官网上下载的肯定没问题，于是就毫无顾虑的打开了。这时，入侵的不再是浏览器环境，而是能控制整个系统了。防范措施：如果是从浏览器里下载的程序，留意是否具有数字签名，正规的厂商几乎都会提供。如果想使用一些来路不明的小程序，保存到虚拟机里使用就放心多了。未来 SPDY 技术普及的时候，就再不用担心网页劫持这些事。它将 HTTP 协议封装在加密的流量里传输，想劫持一个普通网页都很困难了。