评测告诉你:那些免费代理悄悄做的龌蹉事儿

安全
笔者2013年曾发表过一篇文章《免费代理服务器为何免费?》——文中提及代理服务器之所以免费,是因为其可以轻松浸染用户的上网行为并收集数据。而最新上线的Proxy Checker可以检测代理服务器的安全性。

笔者2013年曾发表过一篇文章《免费代理服务器为何免费?》——文中提及代理服务器之所以免费,是因为其可以轻松浸染用户的上网行为并收集数据。而最新上线的Proxy Checker可以检测代理服务器的安全性。

后来,为了找到那些使用了文章中所述的免费代理服务器,我写了个极简单的脚本(实际就是一个PHP函数),从不同的位置请求获取Javascript文件并检测可修改的内容。

 评测告诉你:那些免费代理悄悄做的龌蹉事儿
评测方法
如果你并不关心代码,请直接跳至检测结果。
我说这个脚本“极简单”是因为这是个完整函数:
/**************************************************************************/
/* scanProxy function by Christian Haschek christian@haschek.at */
/* It's intended to be used with php5-cli .. don't put it on a web server */
/* */
/* Requests a specific file ($url) via a proxy ($proxy) */
/* if first parameter is set to false it will retrieve */
/* $url without a proxy. CURL extension for PHP is required. */
/* */
/* @param $proxy (string) is the proxy server used (eg 127.0.0.1:8123) */
/* @param $url (string) is the URL of the requested file or site */
/* @param $socks (bool) true: SOCKS proxy, false: HTTP proxy */
/* @param $timeout (int) timeout for the request in seconds */
/* @return (string) the content of requested url */
/**************************************************************************/
function scanProxy($proxy,$url,$socks=true,$timeout=10)
{
$ch = curl_init($url);
$headers["User-Agent"] = "Proxyscanner/1.0";
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_HEADER, 0); //we don't need headers in our output
curl_setopt($ch, CURLOPT_HTTPPROXYTUNNEL, 0);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT ,$timeout);
curl_setopt($ch, CURLOPT_TIMEOUT, $timeout);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //return output as string
$proxytype = ($socks?CURLPROXY_SOCKS5:CURLPROXY_HTTP); //socks or http proxy?
if($proxy)
{
curl_setopt($ch, CURLOPT_PROXY, $proxy);
curl_setopt($ch, CURLOPT_PROXYTYPE, $proxytype);
}
$out = curl_exec($ch);
curl_close($ch);
return trim($out);
}
你可以用这个函数做各种分析:
·检查代理是否隐藏了你的IP,通过 http://ip.haschek.at 找到你的IP,然后你可以在参考数据中检查是否有与你的IP相同的;
·检查代理是否使用的https隧道传输(一种安全传输协议),如果不是,那可能是服务器拥有者想查看明文,然后从中提取数据;
·检查代理是否修改了静态网页(例如:添加广告)。
分析443个免费代理服务器
我从各种渠道获得了代理服务器的信息,但是我发现Google有通向所有网站的链接
我们需要检测什么
是否使用了HTTPS?
是否修改了JS内容?
是否修改了静态网页?
是否隐藏了我的IP?
评测结果
 评测告诉你:那些免费代理悄悄做的龌蹉事儿
现在问题来了:75%的代理服务器是安全的?
仅仅因为一个代理服务器“不积极”地修改你的内容,这并不意味着它就是安全的。使用免费代理服务器的的唯一安全的方法就是如果HTTPS可用,你只访问实施HTTPS的站点即可。
只有21%代理服务器使用了HTTPS。
令人震惊的结果
出乎意料的是,会有如此多的代理禁止HTTPS流量。代理服务器这么做可能是因为他们想让你使用HTTP,这样它就能分析你的流量并窃取你的登录凭证了。
199个代理服务器中只有17个(8.5%)修改JS,他们中大多出都被注入了客户广告。但是其中只有两个是错误信息或者web过滤器警告。
33个代理服务器(16.6%)活跃于修改静态HTML页面并且注入广告。
 他们中的大多数在结束标签之前加入了下面这段代码:
<link rel="stylesheet" type="text/css" href="http://ads.adt100.com/css/bottom.css" /><div id="center_xad" class="cwindow_xad"><div class="center_title_xad" id="center_title_xad"><img onclick="closeWindow()" width="39px" id="cwindow_xclose" height="11px" src="http://ads.adt100.com/images/close_btn.gif"></div><div id="center_xad_cnt" class="injection_content"></div></div><div id="right_xad" class="window_xad"><div class="right_title_xad" id="right_title_xad"><img onclick="closeWindow()" id="cwindow_rclose" width="39px" height="11px" src="http://ads.adt100.com/images/close_btn.gif"></div><div id="right_xad_cnt" class="injection_content"></div></div><script src="http://ads.adt100.com/js/bottom.js"></script>
绝对的恶意广告,及可能存在cookie窃取。然而,笔者并没有进一步进行检测。
另一个广告注入代理服务器更加“精致”。他们页面的注入脚本如下:
<script type="text/javascript" charset="utf-8" mediaproAccountID="0" mediaproSlotID="0" usermac="" src="/7b26d4601fbe440b35e496a0fcfa15f7/00212600d7e6/w1/i.js" async="async" defer></script><meta charset="utf-8">
有趣的是,他们指向一个看起来像是本地的JS。当浏览器通过代理服务器请求这一文件,代理就会劫持请求然后回复一个受感染的JS。因为它和另一个相同,并非一个跨域JS链接。
如果你仍然认为自己有必要使用一个免费代理服务器,尝试使用一个HTTPS可用的,并且要访问安全的站点。
 
责任编辑:何妍 来源: 黑客与极客
相关推荐

2020-06-16 09:55:52

数据库MySQL技术

2020-12-30 09:18:46

JVM内部信息

2020-04-30 11:11:30

MySQLMGR数据库

2015-02-11 09:37:14

2018-01-08 15:13:15

httphttpsSSL证书

2015-01-06 14:39:41

云计算云存储数据迁移

2016-06-27 16:29:04

戴尔闪存

2021-05-06 08:28:04

mq中间件消息中间件

2014-03-12 09:23:06

DevOps团队合作

2014-05-30 10:23:15

乐跑手环智能手环运动手环

2018-01-04 13:29:13

租房租房网站安全

2022-05-27 08:55:15

工具自动化软件

2022-04-27 07:37:42

ReactReact18

2018-11-25 10:08:44

阿里巴巴技术开源

2021-08-16 05:39:33

云计算云计算环境信创云

2023-04-11 07:34:40

分布式系统算法

2021-03-18 09:01:53

软件开发软件选型

2010-10-12 09:51:11

2024-02-06 08:33:54

文件系统SSD

2011-03-22 10:49:53

点赞
收藏

51CTO技术栈公众号