何振宇

（西安鐵一中濱河學(xué)校，陜西 西安710000）

1 概述

互聯(lián)網(wǎng)技術(shù)的發(fā)展給人們的生活帶來了質(zhì)的變化，無論是吃、穿、住、行，還是洽談、交易、貨物流轉(zhuǎn)，都離不開互聯(lián)網(wǎng)。隨著互聯(lián)網(wǎng)所提供服務(wù)的多樣化，其承載數(shù)據(jù)的敏感性也不斷提升，安全風(fēng)險(xiǎn)也隨之增大。

用戶使用網(wǎng)絡(luò)時(shí)，訪問網(wǎng)頁(yè)是最常見的應(yīng)用場(chǎng)景，一般由HTTP 及HTTPS 協(xié)議承擔(dān)數(shù)據(jù)傳輸。在使用HTTP 協(xié)議進(jìn)行數(shù)據(jù)傳輸時(shí)，用戶的敏感信息存在泄漏的可能，具有很大的安全隱患[1]。針對(duì)該問題，部分網(wǎng)站已經(jīng)部署了HTTPS 協(xié)議保障用戶的數(shù)據(jù)安全。但是，仍然有部分網(wǎng)站采用HTTP 協(xié)議傳輸敏感數(shù)據(jù)[2]。該類網(wǎng)站是否采取了其他安全措施，是否會(huì)造成敏感數(shù)據(jù)泄露，需要進(jìn)行調(diào)查研究。

本文針對(duì)采用HTTP 協(xié)議的網(wǎng)站進(jìn)行嗅探分析，調(diào)查研究國(guó)內(nèi)網(wǎng)站部署HTTP 協(xié)議情況，具體分析敏感場(chǎng)景下是否存在信息泄露及其危害；最后，對(duì)泄露數(shù)據(jù)的安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估，針對(duì)用戶及網(wǎng)站運(yùn)營(yíng)者提出相關(guān)安全建議。希望通過本文引起大眾對(duì)網(wǎng)絡(luò)安全問題的關(guān)注和思考。

2 理論基礎(chǔ)

2.1 HTTP 協(xié)議簡(jiǎn)介

HTTP（Hyper Text Transfer Protocol）協(xié)議，是用于從萬維網(wǎng)服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議[3]。具體來說，HTTP是一個(gè)基于TCP/IP 通信協(xié)議來傳遞數(shù)據(jù)，是受眾較廣的一種協(xié)議，其可以幫助用戶進(jìn)行遠(yuǎn)端的信息傳輸，起到了一個(gè)橋梁的作用，很好的將遠(yuǎn)程主機(jī)與用戶進(jìn)行聯(lián)接。

但是，HTTP 協(xié)議也存在很多安全隱患，其中明文傳輸漏洞尤為突出。HTTP 協(xié)議將用戶的隱私以不加密或簡(jiǎn)易加密的形式進(jìn)行傳輸，在傳輸過程中可能導(dǎo)致用戶數(shù)據(jù)的泄露。

2.2 流量嗅探

由于網(wǎng)絡(luò)協(xié)議的復(fù)雜性，用戶的網(wǎng)絡(luò)數(shù)據(jù)需要經(jīng)過多次中繼才能完成傳輸，復(fù)雜的結(jié)構(gòu)給用戶數(shù)據(jù)帶來了安全風(fēng)險(xiǎn)。在特定的網(wǎng)絡(luò)節(jié)點(diǎn)，攻擊者可以通過端口鏡像、增加硬件設(shè)備等方式嗅探用戶網(wǎng)絡(luò)流量。在網(wǎng)絡(luò)接入端，攻擊者可以偽造網(wǎng)絡(luò)接入點(diǎn)、中間人攻擊等手段獲取用戶網(wǎng)絡(luò)流量。如上文所述，部分TCP/IP 協(xié)議存在明文傳輸?shù)穆┒?，捕獲用戶網(wǎng)絡(luò)流量后能夠輕松獲取用戶相關(guān)的個(gè)人信息[4]。本文著重關(guān)注登錄場(chǎng)景下，HTTP協(xié)議相關(guān)流量中用戶的個(gè)人信息泄露的問題。因此，本文通過捕獲本地HTTP 協(xié)議相關(guān)流量進(jìn)行分析研究。

3 HTTP 協(xié)議流量安全分析

3.1 信息泄露案例

HTTP 協(xié)議存在明文傳輸?shù)陌踩毕?，在部分?fù)雜接入環(huán)境下存在信息泄露的可能。經(jīng)過調(diào)查分析，很多網(wǎng)站的敏感場(chǎng)景下仍采用HTTP 協(xié)議，大大降低了該網(wǎng)站的安全性，并且還有可能泄露用戶的個(gè)人隱私。通過調(diào)查分析大量網(wǎng)站，利用Wireshark 分析相關(guān)流量并驗(yàn)證了部分網(wǎng)站存在信息泄露的問題。

案例1：

駕校一點(diǎn)通是一個(gè)駕校培訓(xùn)的網(wǎng)站,其登錄賬號(hào)以手機(jī)號(hào)為主，用戶通過輸入手機(jī)號(hào)及密碼，可以進(jìn)行登錄操作。通過調(diào)查發(fā)現(xiàn)其仍使用HTTP 協(xié)議進(jìn)行登錄操作。首先，使用測(cè)試賬號(hào)登陸該網(wǎng)站，利用Wireshark 捕獲該網(wǎng)站登錄的網(wǎng)絡(luò)報(bào)文。通過Wireshark 篩選出HTTP 請(qǐng)求報(bào)文，過濾掉其他無用的字段。隨后過濾出請(qǐng)求方法為“POST”的報(bào)文，通過對(duì)數(shù)據(jù)的分析發(fā)現(xiàn)其中包含明文傳輸信息。如圖1 所示，分析該報(bào)文后，發(fā)現(xiàn)用戶在登錄界面輸入的賬戶（phone）以及密碼（password）都出現(xiàn)在了報(bào)文中。由此可見，該網(wǎng)站直接采用HTTP 協(xié)議進(jìn)行登錄操作，存在賬號(hào)密碼泄露的安全風(fēng)險(xiǎn)。

圖1 駕校一點(diǎn)通網(wǎng)站登錄報(bào)文

以上案例為登錄場(chǎng)景下HTTP 協(xié)議造成的信息泄露，用戶登錄使用的賬號(hào)密碼泄露。賬號(hào)密碼泄露會(huì)造成該網(wǎng)站相關(guān)信息泄露。駕校一點(diǎn)通賬號(hào)和密碼出現(xiàn)了明文傳輸?shù)默F(xiàn)象，由于駕校類的網(wǎng)站受眾較廣，此類安全漏洞對(duì)該網(wǎng)站用戶的隱私帶來了泄露風(fēng)險(xiǎn)。此外，賬號(hào)密碼泄露不但造成該網(wǎng)站的數(shù)據(jù)泄露，還面臨撞庫(kù)的風(fēng)險(xiǎn)。

3.2 存在信息泄露風(fēng)險(xiǎn)案例

上節(jié)案例直接采用HTTP 協(xié)議傳輸敏感數(shù)據(jù)，在特定場(chǎng)景下會(huì)泄露用戶信息。除此之外，部分網(wǎng)站雖然也采用HTTP 協(xié)議，但針對(duì)部分特定字段進(jìn)行加密處理，在一定程度上保障了用戶數(shù)據(jù)安全。雖然加密后的字段無法直接泄露用戶信息，但部分網(wǎng)站加密機(jī)制存在漏洞，仍存在信息泄露的安全風(fēng)險(xiǎn)。

3.2.1 案例1

人人網(wǎng)是一個(gè)用戶量較大的實(shí)名社交網(wǎng)站，該網(wǎng)站涉及的隱私信息非常多，包括用戶的實(shí)名信息、照片、日記及社交關(guān)系等。用戶通過輸入賬號(hào)密碼可進(jìn)入個(gè)人主頁(yè)上傳及瀏覽圖片、日記等私密內(nèi)容。利用Wireshark 捕獲該網(wǎng)站登錄場(chǎng)景的數(shù)據(jù)包，然后篩選出HTTP 協(xié)議報(bào)文，提取其中包含POST 請(qǐng)求的數(shù)據(jù)包并分析相關(guān)字段。經(jīng)過分析比對(duì)，發(fā)現(xiàn)用戶登錄所提交的賬號(hào)以明文形式出現(xiàn)在POST 請(qǐng)求數(shù)據(jù)包中。如圖2（1）所示，登錄的賬號(hào)以明文形式發(fā)送，對(duì)密碼則進(jìn)行了加密處理。

通過Wireshark 分析，雖然能夠定位表示密碼的字段，但無法直接獲取密碼原文。經(jīng)過多次登錄操作，重復(fù)輸入相同賬號(hào)密碼，發(fā)現(xiàn)相關(guān)報(bào)文中密碼字段相同。因此，人人網(wǎng)針對(duì)用戶密碼所采用的加密機(jī)制無法抵抗重放攻擊。因此，雖然人人網(wǎng)對(duì)于HTTP 協(xié)議的明文傳輸問題采取了相應(yīng)的安全措施，但其加密方案不夠完善，仍存在安全隱患。

圖2 人人網(wǎng)多次登錄報(bào)文

3.2.2 案例2

某省份高考志愿填報(bào)系統(tǒng)涉及考生的考號(hào)、學(xué)籍號(hào)、志愿填報(bào)，數(shù)據(jù)安全敏感度很高?？忌ㄟ^該系統(tǒng)輸入自己的考號(hào)，學(xué)校等信息，來進(jìn)行志愿的填報(bào)。但是，該系統(tǒng)網(wǎng)站登錄仍采用HTTP 協(xié)議，雖然也針對(duì)部分字段進(jìn)行了加密操作，但其加密機(jī)制也存在一定安全風(fēng)險(xiǎn)。

使用Wireshark 捕獲該網(wǎng)站登錄場(chǎng)景的數(shù)據(jù)包，并篩選出HTTP 協(xié)議報(bào)文。如圖3 所示，登錄涉及的“POST”報(bào)文中包含賬號(hào)明文，密碼則進(jìn)行了加密操作。通過對(duì)捕獲報(bào)文進(jìn)行對(duì)比分析，密碼字段雖然被加密，但多次登錄后，所得到的密文相同。因此，該網(wǎng)站所采用的加密措施存在漏洞，無法抵御重放攻擊，存在一定的安全風(fēng)險(xiǎn)。

圖3 某省志愿填報(bào)系統(tǒng)登錄報(bào)文

以上兩個(gè)案例沒有針對(duì)賬號(hào)進(jìn)行加密處理，用戶賬號(hào)存在直接泄露的風(fēng)險(xiǎn)，而賬號(hào)往往為用戶的手機(jī)號(hào)或郵箱。賬號(hào)的泄露也會(huì)給用戶帶來安全威脅，攻擊者可以針對(duì)用戶偽造更具誘騙性的釣魚郵件或詐騙短信。

此外，以上兩個(gè)案例雖然針對(duì)密碼字段進(jìn)行了加密，但其加密機(jī)制存在漏洞，每次密文相同，無法抵抗重放攻擊。

3.3 應(yīng)對(duì)措施

以上案例說明部分網(wǎng)站運(yùn)營(yíng)者未采取有效安全措施保障用戶的數(shù)據(jù)安全。從法律角度上講，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，網(wǎng)站運(yùn)營(yíng)者應(yīng)切實(shí)采取措施保障用戶數(shù)據(jù)安全。針對(duì)HTTP 協(xié)議的安全漏洞，建議網(wǎng)站運(yùn)營(yíng)者加快部署HTTPS 協(xié)議。在過渡階段，也應(yīng)利用完善的加密機(jī)制針對(duì)敏感字段進(jìn)行加密，防止重放攻擊行為。

此外，用戶平日使用網(wǎng)絡(luò)時(shí)也應(yīng)采用相應(yīng)措施保障自身數(shù)據(jù)安全。首先，在登錄重要網(wǎng)站時(shí)，確保所接入的網(wǎng)絡(luò)安全性。若無法確定所接入網(wǎng)絡(luò)安全性，建議盡量采用手機(jī)移動(dòng)網(wǎng)絡(luò)登錄重要網(wǎng)站。其次，在設(shè)置密碼時(shí)，重要網(wǎng)站盡量設(shè)置不同的密碼，降低某一網(wǎng)站賬號(hào)泄露帶來的安全風(fēng)險(xiǎn)。最后，在收到網(wǎng)站發(fā)來的驗(yàn)證短信及郵件時(shí)，認(rèn)真查驗(yàn)其真實(shí)性，不輕易訪問郵件連接，防范釣魚短信及郵件。

4 結(jié)論

本文通過流量分析的方法，利用wireshark 軟件針對(duì)部分網(wǎng)站登錄流量進(jìn)行了調(diào)查分析。通過分析發(fā)現(xiàn)，部分網(wǎng)站仍采用HTTP 協(xié)議進(jìn)行登錄操作，存在賬號(hào)密碼泄露的風(fēng)險(xiǎn)。此外，部分網(wǎng)站雖然針對(duì)部分字段進(jìn)行了加密，但其加密機(jī)制可能存在其他安全漏洞，仍存在泄露風(fēng)險(xiǎn)。因此，網(wǎng)站運(yùn)營(yíng)者應(yīng)加快HTTPS 協(xié)議部署，采用安全可靠的加密機(jī)制保障用戶數(shù)據(jù)安全。此外，本文僅針對(duì)登錄場(chǎng)景進(jìn)行分析，后續(xù)將針對(duì)多場(chǎng)景流量開展分析。