这是一个创建于 3995 天前的主题,其中的信息可能已经有所发展或是发生改变。
访问Google等网站时百度浏览器会自动启动baidubrowser_proxy.exe 然后将所有流量重定向到本地的proxy端口 proxy的连接目标在我这里是111.206.37.99 一个北京联通IP
到这里都还没什么问题,而且用https google时那个proxy也会与那个IP正常建立TLS连接 非常像一个无害的代理
但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发 在wireshark里把字节流导出后得到这么一个证书文件 上传到我个人博客了各位自己看吧。
http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip
当然,百度浏览器本身肯定不会给显示证书的
具体的信息我再确认整理下一会发,现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器 且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐
到这里都还没什么问题,而且用https google时那个proxy也会与那个IP正常建立TLS连接 非常像一个无害的代理
但抓包后发现从百度的proxy服务器返回的TLS Server Hello信息里证书并不是Google G2而是一个百度的自签发 在wireshark里把字节流导出后得到这么一个证书文件 上传到我个人博客了各位自己看吧。
http://toby.so/wp-content/uploads/2014/11/BaiduProxyMITM.zip
当然,百度浏览器本身肯定不会给显示证书的
具体的信息我再确认整理下一会发,现在可以知道的是这个“海外加速”把所有数据发往北京联通服务器 且可能是个有意对加密连接进行中间人攻击以嗅探内容的蜜罐
 |
1
tobyxdd OP 也有一种好一点的解释就是百度自己用SSL封装所有代理数据发往那个IP所以看到的是百度证书...
|
 |
2
a2z 2014-11-22 19:57:04 +08:00
好一点的解释也足够说明是百度在中间人攻击了
|
 |
3
glados01 2014-11-22 20:00:18 +08:00
请教楼主:
用 vpn 下载或更新 google play 的应用有没有安全隐患?比如说google账号密码被截取什么的? 上fb或者twitter呢? |
|
4
tobyxdd OP @glados01 全程https且没被中间人攻击就没什么问题 如果是登录明文网站就得看你vpn加密程度和vpn提供者本身会不会在服务器上监控你
|
 |
5
tumutanzi 2014-11-22 20:08:58 +08:00  1
前几天,我就说了:"360浏览器推出有选择翻墙功能" (虽然如此,建议不要用!)为什么此段时间这些公司都推出这些东西?为什么?
|
 |
7
lightening 2014-11-22 20:13:28 +08:00 6
浏览器作为SSL的一端,本来就什么都知道的……
|
 |
10
xxhjkl 2014-11-22 20:28:16 +08:00
我比较关心的是,FB可以走这个proxy吗
|
 |
11
oott123 2014-11-22 20:39:27 +08:00 1
百度自己本身就是通过 SSL 连接那个服务器啊,你访问过去不就看到了一个需要认证的 squid ……
也就是说这个 SSL 里面走的是明文还是密文,无从知晓,除非你可以解密那个 SSL 。 @lightening 说得很对,没必要中间人,反正浏览器这一端什么都知道…… |
 |
12
lfzyx 2014-11-22 22:15:44 +08:00
扳手指都可以想到国内的公司怎么敢跟官府对着干,必然是有目的的
|
 |
13
Busy 2014-11-22 22:17:03 +08:00
楼主的意思是,小白用的 goagent,就是个中间人攻击的蜜罐?
|
 |
15
exploreexe 2014-11-22 22:38:53 +08:00 via iPhone
虽然不懂原理,但是鉴于百度公司的节操也是不敢用的。
曾经研究过某二线城市的网吧系统所有聊天记录都指向市xx局服务器,更是可以看到所有人聊天记录。当时就对天朝失去信心了。 还是自建或者用一些不太高调的vpn服务吧。 |
 |
17
SquirrelMAN 2014-11-22 22:59:58 +08:00
在理。
|
 |
18
xoxo 2014-11-22 23:02:03 +08:00
这个问题呢,有多方面的原因:
最可能是因为需要代理的服务较多, 所以做三层转发所需要的代理服务器太多,然后就自己签发了一张证书,来做七层转发? |
 |
19
xierch 2014-11-22 23:14:54 +08:00
首先浏览器它自身什么都看得见,要做什么都可以..
但如果它 没 在 proxy 上做 MITM,是否有可能让可信的浏览器使用这个 proxy 呢? |
|
20
oott123 2014-11-22 23:32:03 +08:00
|
 |
21
aero99 2014-11-23 00:57:14 +08:00 via iPhone
@exploreexe 太可怕了
|
 |
22
cnbeining 2014-11-23 08:55:12 +08:00
如果这不叫SSLStrip那这世界上就没有攻击了。
Google也有流量压缩代理,但是服务器不能转发(就是不能)SSL的东西。 goagent本身就是MITM,当然作者也明确说了,这个东西不安全。那就怨不得别人了。。。 |
 |
23
matthewgao 2014-11-23 11:31:24 +08:00
因为百度做了一次SSL的DPI
|
 |
26
chengr28 2014-11-25 13:04:31 +08:00 1
这个本质上是用 Squid 搭的代理……百毒浏览器默认用的是加密,测试发现普通连接也能用来代理,当然要能如 16L 所说猜出用户名和密码……至于会不会被服务器截获,应该是有可能的。如果是普通 Squid 搭的代理用 HTTPS 服务器当然是看不到的,但是天知道百毒浏览器里是怎么玩
或者如果你们不放心可以去下这个小工具把那个证书吊销掉,我刚刚加上去了。不过实测百毒浏览器那个 proxy 貌似不验证书,吊销了都没有反应照样能代理…… https://github.com/chengr28/AntiChinaCerts |
Select Language