联通对 HTTPS 网站下手了你们怕不怕

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2265 天前的主题，其中的信息可能已经有所发展或是发生改变。

测试的有多个电商的返利链接，联通直接瞎搞根证书劫持返利链接了

第 1 条附言 · 2018-08-26 18:05:19 +08:00

当地客户经理回复说在市机房检查过了，流量正常，没有任何问题。

这两天在市下多个县的联通宽带都做了测试，现象一模一样……

返利

联通

链接

劫持

32 条回复 • 2018-09-08 13:40:55 +08:00

night98

2018-08-24 11:17:21 +08:00

上 ss

BOYPT

2018-08-24 11:22:56 +08:00

这样瞎搞应该没法在淘宝正常下单的啊，返利过程也没法完成吧...

CloudnuY

2018-08-24 11:23:58 +08:00

@BOYPT #2 怕是很多不懂的人直接点信任或者继续了……

leoojiang

2018-08-24 11:25:02 +08:00

这么牛逼。。。

orangeade

2018-08-24 11:38:00 +08:00

墙国互联网就和粪坑一样

imfannet

2018-08-24 11:42:15 +08:00

证书劫持用 chrome 会无限报错淘宝京东什么的支付流程都完成不了直接按故障报吧

Tianao

2018-08-24 11:43:41 +08:00

这个……我还是持怀疑态度，个人建议题主再排查下其他环节，或者只是 CDN 那边出问题了。

Love4Taylor

2018-08-24 11:55:36 +08:00 via Android

怕倒是不怕反正只要自己设备上不瞎装根证书就行, 不过到底是不是联通干的还存疑, 持续关注...

est

2018-08-24 11:56:50 +08:00

@Tianao 同意。。。

劫持的话，不会搞一个过期的证书。。

Liqianyu

2018-08-24 12:00:45 +08:00

抓包看看劫持到哪里啊。
图中的返利链接是
mm_30206881_24090660_114504924
memberid(联盟成员 ID)，siteid(推广媒体 ID)，adzoneid(推广位 id)

SirLostWhite

2018-08-24 12:01:20 +08:00

我曹!
这瞎 TM 搞不是犯法的吗
这不是劫持吗
真的假的!
我有点不太敢相信哦

affyun

2018-08-24 12:17:20 +08:00

这种劫持的目标是那些用会忽略 https 错误的国产浏览器的人

Cipool

2018-08-24 12:37:58 +08:00 via Android

建议还是看看解析出的 IP 地址看是不是阿里 CDN 的节点或者被劫持到联通自建的服务器了

CloudnuY

2018-08-24 12:44:09 +08:00

如图，首先联通劫持第三方 DNS 到自己的 DNS （经测试大众第三方 DNS 如 114、阿里等都被劫持，小众 DNS 未被劫持），然后将各种返利链接解析到联通自建服务器

CloudnuY

2018-08-24 12:45:22 +08:00

@Tianao #7
@est #9
见楼上，首先 DNS 劫持，再解析到联通自建服务器

CloudnuY

2018-08-24 12:48:21 +08:00

如图 DNS 路由追踪结果，直接路由牵引劫持

qgswzmz

2018-08-24 12:55:41 +08:00 via Android

山东联通最近上京东小米官网什么的第一次进去都在地址栏标不安全点击所有连接都跳转空白页刷新一次后地址栏变为正常的 HTTPS 安全然后点击链接才正常

bao3

2018-08-24 13:06:57 +08:00 via iPhone

楼主用的是联通官方运营商？还是联通代理商？可能截图似乎是联通代理的做的 dns，不是官方的地址

miyuki

2018-08-24 13:19:13 +08:00 via Android

楼主以前也投诉过，我有点印象

iwtbauh

2018-08-24 14:21:49 +08:00 via Android

返利链接是什么？

淘宝竟然没有用 hsts....

Liqianyu

2018-08-24 15:42:34 +08:00

@CloudnuY
哪里的联通？
是内网 IP ？怎么路由跟踪都到 10.196.128.1

chinvo

2018-08-24 16:00:12 +08:00

一般来讲，信任也不行，装 CA 也不行的

涉及金融都得上 HSTS 了吧，HSTS 认指纹，可以一定程度防止中间人攻击

phantasm

2018-08-24 16:02:48 +08:00

@Liqianyu 看截图是山西临汾

CloudnuY

2018-08-24 16:06:34 +08:00

@Liqianyu #21 一百八十线小县城，联通分配的内网 IP

RqPS6rhmP3Nyn3Tm

2018-08-24 16:55:01 +08:00

@chinvo HSTS 不认指纹的吧，只是尊重协议的客户端需要走 HTTPS

bclerdx

2018-08-24 23:13:39 +08:00

@CloudnuY 怎么看出劫持第三方 DNS 到自己的 DNS 的？

leaves7i

2018-08-24 23:54:09 +08:00 via Android

工信部吧。这种不像是运营商搞得，感觉可能是内部人员滥用职权搞得

gcod

2018-08-26 10:38:06 +08:00

又不是第一次这样搞了
工信部投诉吧

v2gg

2018-09-04 15:59:45 +08:00 via iPad

@qgswzmz 小米官网根域名（ https://mi.com ）好像就是他们自己配置错了。。。得用 www （ https://www.mi.com ）才可以

qgswzmz

2018-09-04 19:27:43 +08:00 via Android

@v2gg 应该不是这个问题吧我是输入 mi （或者 jd ）然后 Ctrl+回车自动加的 www 和 com

CloudnuY

2018-09-04 20:16:01 +08:00

@qgswzmz #30 小米官网的确在联通劫持名单里面

v2gg

2018-09-08 13:40:55 +08:00 via Android

@qgswzmz 有可能浏览器识别了，我这不太清楚；但是我这里 https://mi.com/ 是提示安全证书验证失败的