首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hessian
V2EX  ›  宽带症候群

2025 年了,还有运营商劫持?

  •   
  •   hessian · 145 天前 · 4679 次点击
    这是一个创建于 145 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天日常调试程序抓包过程中突然看到非我司域名的请求,顿生疑惑。

    前面三个请求的域名还是什么 www.cdnaccelerationcache.com 看起来似乎是个 cdn ,后面什么 winners.club 看着就明显不对劲了,再展开看响应还是什么“以德会友 智者博弈”。。。一看就不是什么正经东西。

    马上搜了前端和移动端的代码都没找到相关域名,于是又到抓包软件重新捋了一下,最后发现居然是 vconsole.min.js 被植入。

    前端开发同学在使用 vconsole 的时候使用了 bootcdn 的地址: https://cdn.bootcdn.net/ajax/libs/vConsole/3.12.1/vconsole.min.js

    今天正好我抓包的时候被我抓到了,不知道是中间运营商干的还是 bootcdn 被污染了。

    真是曹蛋,再次提醒,项目里不要直接通过第三方 URL 引用外部 JS 。

    下面附抓包截图

    https://i.imgur.com/A3zaI8R.png

    https://i.imgur.com/BI0VqOm.png

    https://i.imgur.com/LPjDpnr.png

    https://i.imgur.com/RCeq0s7.png

    PS:抓包时的网络运营商是四川移动,用的还是企业专线。

  • 运营商劫持
  • vconsole.min.js
  • bootcdn
    25 条回复    2025-05-06 10:37:33 +08:00
    oyama
        1
    oyama  
       145 天前 via iPhone
    我猜 bootcdn 污染了,已经上了 https 了,运营商劫持不了了
    MarkP
        2
    MarkP  
       145 天前
    BootCDN 投毒风险
    https://zhi.oscs1024.com/5344.html

    都快两年了吧
    ultimate42
        3
    ultimate42  
       145 天前
    我现在只用字节的 cdn 了
    4UyQY0ETgHMs77X8
        4
    4UyQY0ETgHMs77X8  
       145 天前
    @ultimate42 #3 字节的服务器服务听恶心的所以对整个火山印象不好,特别两次备案折腾的我筋疲力尽
    hessian
        5
    hessian  
    OP
       145 天前
    @oyama 有道理,万一技术进步了呢? 😂
    pony2335
        6
    pony2335  
       145 天前
    @FlorentinoAriza 备案这事,只要换云服务商都需要再备案一次。 我都在华为、阿里、腾讯、火山都备过案
    yafoo
        7
    yafoo  
       145 天前 via Android
    之前有人发过帖子,是 bootcdn 的问题
    iyaozhen
        8
    iyaozhen  
       145 天前
    bootcdn 都多少年了,还有人用,出过几次问题了
    4UyQY0ETgHMs77X8
        9
    4UyQY0ETgHMs77X8  
       145 天前
    @pony2335 #6 主要是备案时间火山比阿里腾讯长,而且频繁打回,阿里腾讯平台审核客服给你打电话帮你改,而且阿里服务器还会追加时长,火山什么都没有,服务器第一次备案打回就消耗了一个月
    worker201
        10
    worker201  
       145 天前
    @hessian 你的意思是能够突破 https 搞劫持?
    hessian
        11
    hessian  
    OP
       145 天前
    @worker201 首先我不能 😂
    deplives
        12
    deplives  
       145 天前
    pony2335
        13
    pony2335  
       145 天前
    @FlorentinoAriza 我是做备案接入,3 天就过了。
    4UyQY0ETgHMs77X8
        14
    4UyQY0ETgHMs77X8  
       145 天前
    @pony2335 #13 我备案接入用了 15 天,期间有清明假期可以理解,但频繁打回很多标注不明显以及不补时长的政策有些....
    我承认我是有些笨拙了
    barnett
        15
    barnett  
       145 天前
    同四川移动和飞速 为移动申冤这还真不是移动的锅
    现在运营商没有劫持 SSL 还不带证书错误的能力
    你这是 bootcdn 投毒 很早之前就遇到了 半夜网站跳色站
    NewYear
        16
    NewYear  
       145 天前
    bootcdn 出了一次又一次的问题,是投毒惯犯。
    但你非就是要用他,你说我们能说啥呢。

    唉!!!

    但凡百度一下都能知道啊。

    最后不得不说一句,“JS 库”投毒屡见不鲜,做项目为啥不能用自己的地址呢?
    想不通,省不了几个流量的啊。
    bclerdx
        17
    bclerdx  
       145 天前 via Android
    @NewYear 对其投毒就是十恶不赦。
    hessian
        18
    hessian  
    OP
       145 天前
    @NewYear 😂首先我不是前端。。。再者我也是没想到这种运营这么多年的“知名”CDN 居然有这种问题。。。这么夸张的。

    这 TM 是他们自己下毒吧?
    JensenQian
        19
    JensenQian  
       145 天前
    @hessian 被某公司收购了
    好几个东西都被他们收购
    供应链投毒
    NewYear
        20
    NewYear  
       145 天前
    @hessian #18

    是不是他们自己投毒没人能确认,但估计也差不多就是了,毕竟这玩意又没什么技术含量,主要就是烧流量。
    HTTPS 又不可能劫持,虽然大家会说国产根证书啥的,但现在根本不敢搞,谁搞谁消失(吊销掉该机构),然后全世界出名。

    以前的前端选手特别爱用第三方的 JS 库,主打的就是一个白嫖的快乐。
    但……商业项目这样搞其实根本不靠谱,自家放个 JS 库也不耽误多大事。。。。
    咱就说非要白嫖的话选大厂嘛,毕竟人家服务器多,流量烧得起。。。

    我自己的话也用第三方,但……除了写油猴脚本(没服务器场景)、临时测代码玩,其他场景完全不可能用第三方。
    yinmin
        21
    yinmin  
       144 天前 via iPhone
    @hessian #18 你在测试时发现供应链投毒,是幸运的。这种投毒是在特定 ip 区段小比例投毒的,绝大多数情况下,公司内部测试是不会发现的。

    你有想过他们的商业模式吗?中国的流量成本是很高的,他们只是为了情怀?想想就细思极恐。

    自己服务器上放这些 js 库,静态文件 http(s)是压缩传输并且会长期缓存在浏览器里的,相比网站页面和图片,几乎可以忽略不计。
    yinmin
        22
    yinmin  
       144 天前
    @hessian 是不是抓包发现访问 winners.club ,但是浏览器没有弹出这个网站? 有可能目的是:模拟点击,赚广告费的。
    wy78200
        23
    wy78200  
       144 天前
    我们公司已经禁用 bootcdn 的资源了
    fstab
        24
    fstab  
       137 天前
    不光是 BootCDN 是供应链投毒,还有 lnmp 和 OneinStack 也是
    所以这些东西,还是手搓安全,现在有 AI 加持了,也不是很复杂了。

    https://www.freebuf.com/articles/network/401262.html
    hessian
        25
    hessian  
    OP
       137 天前
    @flyz NND 。。。这种人真的是让人有一种“这么聪明,就是没用在正道上”
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1008 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:47 · PVG 02:47 · LAX 11:47 · JFK 14:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.