V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sszxcss
V2EX  ›  GitHub

轮到劫持 github.com

  •  
  •   sszxcss · 2020-03-27 08:37:09 +08:00 · 22215 次点击
    这是一个创建于 1706 天前的主题,其中的信息可能已经有所发展或是发生改变。
    132 条回复    2020-03-28 08:10:25 +08:00
    1  2  
    redsonic
        101
    redsonic  
       2020-03-27 11:45:59 +08:00
    @areless 你高估了大部分运营商对技术、安全的要求了。
    littlewing
        102
    littlewing  
       2020-03-27 11:55:54 +08:00
    个人能做到这种劫持的吗?
    LonelyMan0108
        103
    LonelyMan0108  
       2020-03-27 11:56:37 +08:00 via iPhone   ❤️ 1
    不会真的是墙在做测试吧
    lewis89
        104
    lewis89  
       2020-03-27 11:59:09 +08:00   ❤️ 5
    @LonelyMan0108 #103 100% 根本不用怀疑,这种大规模的 伪造 DNS 修改主干路由表的权限,不可能是个人行为的,稍微有点网络常识就知道
    arayinfree
        105
    arayinfree  
       2020-03-27 12:17:10 +08:00
    @lewis89 不了解就没有常识,跪求科普为什么
    pb941129
        106
    pb941129  
       2020-03-27 12:26:33 +08:00   ❤️ 1
    说是个人行为的拜托你们用脑子想一想... 即使是那什么部门内部员工误操作,24 小时过去了,情况没有改善波及范围反而更大,这是误操作后的正确走向?
    yankebupt
        107
    yankebupt  
       2020-03-27 12:31:18 +08:00   ❤️ 1
    有點網絡安全常識的 V 友:
    在 github 上搭個反向 probe,測一測有沒有僞造路由信息

    自以爲有網絡安全常識的我:
    三個瀏覽器開 18 個 tab,測測有沒有大量訪問阻斷 /擊穿
    有擊穿邏輯:那就放心了,我就知道沒那麼多錢玩在抗 D 的 MITM 服務器上....
    其實傻逼一樣......

    :doge:
    firefox12
        108
    firefox12  
       2020-03-27 12:48:27 +08:00
    我好奇 他用什么服务器,这个连接量不是一般的大。
    deef
        109
    deef  
       2020-03-27 12:49:57 +08:00   ❤️ 6
    关键是他那个证书,应该就是从 X 书上搜的这篇生成的吧
    https://www.jianshu.com/p/8eb3c6888bef
    里面的
    OU=NSP/CN=SERVER/[email protected] ;除了邮箱号不一样,NSP 这些都没改
    估计他觉得那里必须填个 QQ 邮箱...
    Jooooooooo
        110
    Jooooooooo  
       2020-03-27 13:00:36 +08:00
    个人破坏力这么大网络也太脆弱了
    lewis89
        111
    lewis89  
       2020-03-27 13:47:04 +08:00
    @arayinfree #105 首先你要拥有广域网污染 DNS 的权限,将 GitHub 解析到你的 IP 上 要么就是修改路由表 从 IP 层上伪造数据包,而且这个路由表一般都在省级或者国家级的广域网上,这两个操作 通常只有 GFW 才能办得到
    akring
        112
    akring  
       2020-03-27 13:55:16 +08:00
    @deef 初学者石锤了 233
    mazyi
        113
    mazyi  
       2020-03-27 14:00:35 +08:00 via iPhone
    @1ver 肯定不是个人啊,这种运营商不是分分钟搞定的事情,会存在这么久吗?
    1oNflow
        114
    1oNflow  
       2020-03-27 14:44:07 +08:00 via iPhone   ❤️ 17
    目前来看应该是初中生干的,但他应该有博士学位才做得到。
    lintj
        115
    lintj  
       2020-03-27 15:32:47 +08:00
    @jinliming2 求科普铁道部的证书劫持是怎样一个故事。谢谢!
    doveyoung
        116
    doveyoung  
       2020-03-27 15:35:33 +08:00
    @lintj #115 说的应该是 12306 刚上线的时候诱导用户安装信任他们的自签证书
    augustheart
        117
    augustheart  
       2020-03-27 16:01:21 +08:00
    @lintj 自签证书,并没有劫持。到目前为止没有过使用铁道部那个证书做坏事的案例
    考虑到铁道部和墙不是一家,做坏事也不大可能用铁道部那个(这环境,再生成一个就是了……)
    manami
        118
    manami  
       2020-03-27 16:11:38 +08:00 via Android
    这孩子想出名?再一次的服了。。。
    mauve
        119
    mauve  
       2020-03-27 17:17:04 +08:00
    心即灵山 QQ 号码被盗,现已恢复
    13:17 举报赞(106)评论(155)转发(18)收藏
    106 人觉得很赞

    冰壶秋月 : x6  
    今天 13:18 回复

    冰壶秋月 : 你的邮箱被用来干大事儿了
    今天 13:19 回复

    zero : 牛批
    今天 13:19 回复

    宠 : x1 搞 github 那人是你吗
    今天 13:19 回复

    Veritas :
    今天 13:19 回复

    你若安好那还得了 : 大佬,你出名了
    今天 13:19 回复

    睿远 : 笑死
    今天 13:19 回复

    你若安好那还得了 : 火钳刘明
    今天 13:20 回复

    Mr.Zeyu :
    今天 13:20 回复

    你若安好那还得了 : 老实交代是不是你
    今天 13:21 回复

    和御坂美琴共度今宵 : 火钳刘明
    今天 13:21 回复

    韩小祎 : x1 友情提示啊:建议发个被盗情况说明。不然会被前来观光团喷 shi
    今天 13:21 回复

    yellow : 厉害
    今天 13:22 回复

    韩小祎 : 有人办了件大事( fan fa ),并留下了你的 qq 邮箱
    今天 13:23 回复

    !? :
    今天 13:24 回复

    好想.... 买新 MBP : 建议报警,你的 QQ 邮箱已经被人用于签名证书了
    今天 13:24 回复

    秦淮一梦 lm902 : 牛批啊 GitHub 都搞掉了
    今天 13:25 回复

    yellow : 兄弟你火了
    今天 13:25 回复

    riso : 你牛逼
    今天 13:26 回复

    冢 : 兄弟你太强了
    Iswho
        120
    Iswho  
       2020-03-27 17:50:48 +08:00
    我说怎么一阵能打开一阵打不开的
    ID2333
        121
    ID2333  
       2020-03-27 18:13:25 +08:00
    已经恢复了
    xuanbg
        122
    xuanbg  
       2020-03-27 19:24:44 +08:00
    墙外那几个要访问的网站我都是 host 的,所以一点影响都没有
    jedz
        123
    jedz  
       2020-03-27 21:06:38 +08:00
    @xuanbg 这次跟 DNS 没关系吧
    jinliming2
        124
    jinliming2  
       2020-03-27 22:59:08 +08:00   ❤️ 1
    @Reficul #86 私钥是没放出来,但是也不排除可能有谁持有这个私钥。作为非权威机构,不能保证他们能够很安全地保存证书私钥。所以,在证书到期之前都算是一个定时炸弹……

    @lintj #115 并没有劫持,只是之前 12306 匪夷所思的没有使用权威机构的数字证书,而是将首页设置为未加密的 HTTP 连接,然后在首页提供一个自签名的证书。如果不安装这个证书的话,在进入买票的页面的时候就会提示证书不受信任了。官方诱导用户去以 HTTP 协议下载根证书并安装为可信颁发机构。
    如果不存在中间人的话,那装不装证书都 OK ;而如果存在中间人攻击,因为首页是 HTTP,所以首页的证书是很容易被替换的,也就是即便装了证书也不能保证安全,甚至后果更严重(安装了中间人的证书)。

    确实至今 12306 的那个根证书没有发现被利用来做什么坏事(是没有发现,不敢 100% 说没有,不要产生恐惧,也不要放松警惕),这是好事,但是没人知道那个根证书弃用之后是怎么处理的,是否还有人持有证书和私钥文件?这不得而知,所以,至少在那个根证书过期之前,可能都是一个定时炸弹。
    hutng
        125
    hutng  
       2020-03-28 00:18:27 +08:00
    围观 ing
    有一个小小的问题,权威机构的数字证书如何保证不做坏事?
    hutng
        126
    hutng  
       2020-03-28 00:32:58 +08:00
    在大胆猜测一下:
    V2+TLS+WS/H2 的方式越来越多,q1ang 也有 KPI,总点搞点什么吧,直接把你的 tls 劫持了应该算是个办法。
    这次就当测试一哈,以后没 BA 的域名,ip 在国外的,等待着 github 一样的命运吧
    尔等颤抖吧
    alalida
        127
    alalida  
       2020-03-28 00:57:14 +08:00 via Android
    @hutng 这种层面的中间人攻击,正常网站和 v2 +tsl 都无法建立正常 tsl 联接,客户端强制证书验证的话,攻击也就没什么用了。怕的是 gwf 拿到一个根证书的私钥,随便给你签发证书,发动中间人攻击,这就牛逼了。这样下来,那可不单单是翻墙被抓,而是各种情报,账号密码泄露的问题了。
    alalida
        128
    alalida  
       2020-03-28 00:58:53 +08:00 via Android
    @hutng gwf 要真这么搞,那国内没人敢在互联网输入任何密码。
    djyde
        129
    djyde  
       2020-03-28 01:43:29 +08:00
    @1oNflow #114 哈哈哈哈
    Cielsky
        130
    Cielsky  
       2020-03-28 01:57:25 +08:00 via Android
    @jinliming2 空间注销了🐶
    endlessroad1991
        131
    endlessroad1991  
       2020-03-28 04:17:11 +08:00   ❤️ 1
    以后说不定就是 ip+域名访问全面白名单化。白名单之内通过 mitm 保证内容可被分析,白名单之外直接掐断😃
    psirnull
        132
    psirnull  
       2020-03-28 08:10:25 +08:00
    都散了吧, 国家队。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1255 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:02 · PVG 02:02 · LAX 10:02 · JFK 13:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.