记一例“特殊”的运营商流量劫持强弹广告案例诊断

由于没有上HTTPS，国内最大的政府网站疑似遭遇流量劫持，被恶意弹窗涉嫌色情的广告。

一份网上传播的文档截图中记录了整个事件经过。在这份《关于xx院app中h5页面弹出广告的专题会议纪要与诊断建议》中显示，5月10日晚上，有用户向xx日报反馈，在访问其运营维护的xx院APP/测一测时出现疑似色情广告。

经过紧急排查，当晚xx日报技术部排除源站数据被篡改的可能，初步诊断得出为当地运营商HTTP劫持所致。

第二天一早紧急会议讨论后，他们继续调查验证，主要包括两个方面：联系反馈用户复现问题场景；联合第三方安全公司排查源网站数据、平台是否遭到攻击、存在漏洞，排查CDN数据是否遭到劫持。

调研到的用户反馈情况看起来比较复杂，涉及江苏徐州、河南南阳、新疆克拉玛依三地，电信、移动的WiFi网络和移动4G网络，以及Android、苹果手机。出现广告的均为H5页面，主要集中在“测一测”活动页面上，也有APP里其它H5页面。

同时，第三方安全专家排查源网站、服务器、CDN未发现问题。综合多方排查，基本确定为用户当地运营商HTTP劫持导致H5页面被插入广告。

HTTP注入

从报告描述来看，这可能是目前网络劫持中非常盛行的HTTP注入。用户访问正常网站过程中，链路层面的某一方偷偷动了手脚，在网页的数据包中注入了广告弹窗代码。大家手机流量上网时经常能看到一个圆圆的流量球，显示你的剩余流量，这就是典型的HTTP注入行为。

HTTP注入的危害不止是弹个小广告窗口这么简单，它还可以被用作流量暗刷、投放病毒。记得一年前某地方运营商不知怎么接了个木马广告，这个木马带着Flash高危漏洞利用工具，没升级的电脑打一个准一个。就算你主动升级了，你安装的软件带着旧版Flash插件，也会中招。当时投放一轮，攻击代码的访问量超过千万独立用户，本地的英雄联盟游戏用户一片哀嚎，因为英雄联盟里正用着旧版Flash插件。

抓包验证

另外，我不知道大水有没有冲龙王庙，但如果这份报告是一家普通企业写的，恐怕他们是没法叫停劫持行为的。

虽然报告的诊断过程脉络清晰，有板有眼的，但它缺少了最关键的一环——抓包验证。所有的劫持行为，都可以在数据包层面观测到，也只有这个层面上才能作为证据。比如15年的一个京东案例中，腾讯安全的人抓包分析定位到搞小动作的路由，以图文并茂的形式把结果报给深圳电信，最后解决了问题。要是没实打实的证据，企业网站被劫持，运营商才不鸟人呢。

当然，里边也有可取之处。比如应对预案中讲到：“如定位为运营商劫持，将尽快启动APP及H5页面的HTTPS改造事宜”。希望报告是真的，相关方面能尽快落实，给出正面的宣传案例出来。

文档截图还是不放了，昨天早上有人微博发了被@来往之间（新浪微博CEO）转发，后来来总的微博都找不到了，我害怕…