一、概念

HTTP 劫持（HTTP Hijacking）是指攻击者在通信过程中拦截和篡改用户的 HTTP 请求或响应，从而实施恶意操作或窃取用户的敏感信息。

HTTP 劫持通常发生在不安全的网络环境中，例如公共 Wi-Fi 或未加密的 HTTP 连接。

HTTP 劫持可能发生在网络中的任何节点，攻击者可以截获用户发送的请求，修改请求内容，或截获服务器返回的响应，篡改响应内容。

二、常见形式

1. 中间人攻击（Man-in-the-Middle, MITM）： 攻击者在用户与服务器之间插入自己，拦截并篡改双方的通信内容。例如：

   • 窃取用户的登录凭证、会话 Cookie 或其他敏感信息。
   • 篡改网页内容，插入广告或恶意脚本。

2. DNS 劫持： 攻击者通过篡改 DNS 解析结果，将用户引导到恶意服务器。例如：

   • 用户访问 example.com，但被重定向到攻击者控制的假冒网站。

3. HTTP 响应劫持： 攻击者篡改服务器返回的 HTTP 响应内容。例如：

   • 在网页中插入恶意脚本或广告。
   • 替换下载的文件为恶意软件。

4. 会话劫持（Session Hijacking）： 攻击者窃取用户的会话 Cookie 或令牌，冒充用户访问受保护的资源。

5. Wi-Fi 热点劫持： 在公共 Wi-Fi 环境中，攻击者创建一个假冒的热点，诱使用户连接，从而监控或篡改用户的网络流量。

三、危害

• 数据泄露： 用户的敏感信息（如密码、银行卡号）可能被窃取。
• 恶意内容注入： 攻击者可以在网页中插入恶意脚本（如挖矿脚本、钓鱼页面）。
• 隐私泄露： 用户的浏览行为可能被监控和记录。
• 经济损失： 例如，篡改支付页面导致用户资金损失。

四、防御措施

1. 使用 HTTPS ： HTTPS 通过 TLS/SSL 加密通信内容，防止数据被窃取或篡改。确保网站全面启用 HTTPS，并配置 HSTS（HTTP Strict Transport Security）以强制使用 HTTPS。

   Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

2. 避免使用公共 Wi-Fi ： 公共 Wi-Fi 通常不安全，容易被攻击者利用。如果必须使用，建议通过 VPN 加密流量。

3. 启用 DNSSEC ： DNSSEC（Domain Name System Security Extensions）可以防止 DNS 劫持，确保域名解析结果的真实性。

4. 定期检查证书： 确保网站使用的 SSL/TLS 证书有效且未被篡改。

5. 使用内容安全策略（CSP）： CSP 可以防止恶意脚本注入，限制资源的加载来源。

   Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self';

6. 设置安全的 Cookie 属性： 使用 Secure 和 HttpOnly 属性保护 Cookie，防止被窃取。

   Set-Cookie: sessionId=abc123; Secure; HttpOnly; SameSite=Strict

7. 使用 VPN ： VPN 可以加密所有网络流量，防止中间人攻击。

8. 用户教育： 提醒用户不要点击可疑链接，避免连接不安全的 Wi-Fi，定期检查浏览器地址栏的 HTTPS 标识。

五、检测

1. 检查网络流量： 使用工具（如 Wireshark）分析网络流量，查看是否有异常请求或响应。

2. 监控 DNS 解析： 检查 DNS 解析结果是否正确，避免被重定向到恶意网站。

3. 检查网页内容： 定期检查网页是否被注入恶意脚本或广告。

4. 使用浏览器扩展： 安装安全扩展（如 HTTPS Everywhere）以确保始终使用 HTTPS。

六、总结

HTTP 劫持是一种严重的安全威胁，可能导致数据泄露、隐私侵犯和经济损失。通过使用 HTTPS、启用 DNSSEC、配置 CSP 等措施，可以有效防御 HTTP 劫持。同时，用户也应提高安全意识，避免在不安全的网络环境中进行敏感操作。

更新日志

2025/8/24 08:17

查看所有更新日志

• e7112-1于 2025/8/24