V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
14ly
V2EX  ›  分享发现

转一个帖子:为什么会有免费代理? 讲的是 js 劫持

  •  2
     
  •   14ly · 2015-01-04 14:39:03 +08:00 · 4831 次点击
    这是一个创建于 3617 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://zone.wooyun.org/content/17747
    如果有人修改了SS,做成免费的,发到网上,http:// 的链接会很难防范啊

    22 条回复    2015-01-05 01:38:12 +08:00
    wy315700
        1
    wy315700  
       2015-01-04 15:15:35 +08:00
    羊毛出在羊身上
    likaci
        2
    likaci  
       2015-01-04 15:20:56 +08:00
    还好大部分需要翻墙的都是https的…
    2232588429
        3
    2232588429  
       2015-01-04 15:27:58 +08:00
    嗯哼,所以还是自己搭建最靠谱,免费是有代价的。
    oott123
        4
    oott123  
       2015-01-04 16:00:58 +08:00 via Android   ❤️ 1
    https 也可能遇到被降级的问题…
    Daniel65536
        5
    Daniel65536  
       2015-01-04 16:31:20 +08:00 via iPhone
    https链接可以被一个简单的js脚本降级……
    LazyZhu
        6
    LazyZhu  
       2015-01-04 16:53:36 +08:00 via Android
    Google搜索的反代也不要去用
    marcfizzy
        7
    marcfizzy  
       2015-01-04 17:06:55 +08:00 via iPad
    免费的东西最贵。
    O21
        9
    O21  
       2015-01-04 17:09:04 +08:00 via iPhone
    推荐自己搭建 或者买收费的 因为阴谋论太多了。。。始终还是掏了钱放心
    lhbc
        10
    lhbc  
       2015-01-04 17:39:16 +08:00
    发免费SS、免费VPN、免费反向代理,改host
    人气真是旺啊
    0okmnbvcxzx
        11
    0okmnbvcxzx  
       2015-01-04 18:34:17 +08:00 via Android
    @LazyZhu 担心蜜罐吗?
    bugeye
        12
    bugeye  
       2015-01-04 18:59:12 +08:00
    这世上只要委托别人的事都可能有风险。但大部分人依然好好的活着。
    popu111
        13
    popu111  
       2015-01-04 19:03:46 +08:00
    @lhbc 。。。我确定我没有干啥坏事
    hjc4869
        14
    hjc4869  
       2015-01-04 19:15:57 +08:00 via iPhone
    @Daniel65536 不会,只要整个过程中没有http。局部的https没有意义。
    另外在IE11里非https的js无法操作https部分,其他浏览器不清楚。
    aaaa007cn
        15
    aaaa007cn  
       2015-01-04 19:27:29 +08:00
    所有的代理、vpn 全部都有这个问题
    不是只有 **免费** 的才有
    只是一般人会认为付费的没必要做这些小动作
    但真的是这样么?
    举个不适当的例子
    我们是缴了网费才能上网的
    ISP 还不是一样各种 dns 劫持、http 劫持
    Daniel65536
        16
    Daniel65536  
       2015-01-04 19:31:41 +08:00
    @hjc4869 用js拦截点击事件,然后替换点击的地址到http,IE 11能拦截这个?
    hjc4869
        17
    hjc4869  
       2015-01-04 20:18:22 +08:00 via iPhone
    @Daniel65536 首先纯https页面里插不进去这个js,这才是最主要的问题。
    LazyZhu
        18
    LazyZhu  
       2015-01-04 20:29:50 +08:00
    国人大部分不重视个人隐私的自我保护, 在天朝只能自己保护自己, 苦口良药, 但占小便宜的心理总是占了上风, 等密码隐私泄漏, 遭遇诈骗的时候又会怨天尤人, 循环往复.
    Daniel65536
        19
    Daniel65536  
       2015-01-04 22:46:24 +08:00 via iPad
    @hjc4869 首先你得直接打开那个https页面,而不是通过一个http页面跳转,这才是主要问题。
    sixdian
        20
    sixdian  
       2015-01-05 00:06:54 +08:00 via Android
    昨天路由器部署ss后,用迅雷下载~太平洋战争~满速!两个小时后vps被停了,IDC引用了版权所有者发给他们的声明邮件,才发现下载到美国的资源了,还好第一次只是警告了下,读完后点确认又给开了。以后再也不敢翻墙情况下用迅雷下载了。
    hjc4869
        21
    hjc4869  
       2015-01-05 00:52:49 +08:00
    @Daniel65536 你说的是,攻击者将本该跳转的HTTPS页面放在HTTP内?
    Daniel65536
        22
    Daniel65536  
       2015-01-05 01:38:12 +08:00 via iPhone
    @hjc4869 攻击者可以在所有的http页面内用js劫持各种点击事件,把所有通向https的链接在点击的瞬间替换成http的,于是你压根就没法跳转到一个https页面去,除非你直接输入https地址敲回车。
    你可以参考这个: http://www.freebuf.com/articles/web/47076.html
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2725 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:21 · PVG 23:21 · LAX 07:21 · JFK 10:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.