基于流量分析的HTTP 協議安全現狀分析

何振宇

（西安鐵一中濱河學校，陜西 西安710000）

1 概述

互聯網技術的發展給人們的生活帶來了質的變化，無論是吃、穿、住、行，還是洽談、交易、貨物流轉，都離不開互聯網。隨著互聯網所提供服務的多樣化，其承載數據的敏感性也不斷提升，安全風險也隨之增大。

用戶使用網絡時，訪問網頁是最常見的應用場景，一般由HTTP 及HTTPS 協議承擔數據傳輸。在使用HTTP 協議進行數據傳輸時，用戶的敏感信息存在泄漏的可能，具有很大的安全隱患[1]。針對該問題，部分網站已經部署了HTTPS 協議保障用戶的數據安全。但是，仍然有部分網站采用HTTP 協議傳輸敏感數據[2]。該類網站是否采取了其他安全措施，是否會造成敏感數據泄露，需要進行調查研究。

本文針對采用HTTP 協議的網站進行嗅探分析，調查研究國內網站部署HTTP 協議情況，具體分析敏感場景下是否存在信息泄露及其危害；最后，對泄露數據的安全風險進行分析評估，針對用戶及網站運營者提出相關安全建議。希望通過本文引起大眾對網絡安全問題的關注和思考。

2 理論基礎

2.1 HTTP 協議簡介

HTTP（Hyper Text Transfer Protocol）協議，是用于從萬維網服務器傳輸超文本到本地瀏覽器的傳送協議[3]。具體來說，HTTP是一個基于TCP/IP 通信協議來傳遞數據，是受眾較廣的一種協議，其可以幫助用戶進行遠端的信息傳輸，起到了一個橋梁的作用，很好的將遠程主機與用戶進行聯接。

但是，HTTP 協議也存在很多安全隱患，其中明文傳輸漏洞尤為突出。HTTP 協議將用戶的隱私以不加密或簡易加密的形式進行傳輸，在傳輸過程中可能導致用戶數據的泄露。

2.2 流量嗅探

由于網絡協議的復雜性，用戶的網絡數據需要經過多次中繼才能完成傳輸，復雜的結構給用戶數據帶來了安全風險。在特定的網絡節點，攻擊者可以通過端口鏡像、增加硬件設備等方式嗅探用戶網絡流量。在網絡接入端，攻擊者可以偽造網絡接入點、中間人攻擊等手段獲取用戶網絡流量。如上文所述，部分TCP/IP 協議存在明文傳輸的漏洞，捕獲用戶網絡流量后能夠輕松獲取用戶相關的個人信息[4]。本文著重關注登錄場景下，HTTP協議相關流量中用戶的個人信息泄露的問題。因此，本文通過捕獲本地HTTP 協議相關流量進行分析研究。

3 HTTP 協議流量安全分析

3.1 信息泄露案例

HTTP 協議存在明文傳輸的安全缺陷，在部分復雜接入環境下存在信息泄露的可能。經過調查分析，很多網站的敏感場景下仍采用HTTP 協議，大大降低了該網站的安全性，并且還有可能泄露用戶的個人隱私。通過調查分析大量網站，利用Wireshark 分析相關流量并驗證了部分網站存在信息泄露的問題。

案例1：

駕校一點通是一個駕校培訓的網站,其登錄賬號以手機號為主，用戶通過輸入手機號及密碼，可以進行登錄操作。通過調查發現其仍使用HTTP 協議進行登錄操作。首先，使用測試賬號登陸該網站，利用Wireshark 捕獲該網站登錄的網絡報文。通過Wireshark 篩選出HTTP 請求報文，過濾掉其他無用的字段。隨后過濾出請求方法為“POST”的報文，通過對數據的分析發現其中包含明文傳輸信息。如圖1 所示，分析該報文后，發現用戶在登錄界面輸入的賬戶（phone）以及密碼（password）都出現在了報文中。由此可見，該網站直接采用HTTP 協議進行登錄操作，存在賬號密碼泄露的安全風險。

圖1 駕校一點通網站登錄報文

以上案例為登錄場景下HTTP 協議造成的信息泄露，用戶登錄使用的賬號密碼泄露。賬號密碼泄露會造成該網站相關信息泄露。駕校一點通賬號和密碼出現了明文傳輸的現象，由于駕校類的網站受眾較廣，此類安全漏洞對該網站用戶的隱私帶來了泄露風險。此外，賬號密碼泄露不但造成該網站的數據泄露，還面臨撞庫的風險。

3.2 存在信息泄露風險案例

上節案例直接采用HTTP 協議傳輸敏感數據，在特定場景下會泄露用戶信息。除此之外，部分網站雖然也采用HTTP 協議，但針對部分特定字段進行加密處理，在一定程度上保障了用戶數據安全。雖然加密后的字段無法直接泄露用戶信息，但部分網站加密機制存在漏洞，仍存在信息泄露的安全風險。

3.2.1 案例1

人人網是一個用戶量較大的實名社交網站，該網站涉及的隱私信息非常多，包括用戶的實名信息、照片、日記及社交關系等。用戶通過輸入賬號密碼可進入個人主頁上傳及瀏覽圖片、日記等私密內容。利用Wireshark 捕獲該網站登錄場景的數據包，然后篩選出HTTP 協議報文，提取其中包含POST 請求的數據包并分析相關字段。經過分析比對，發現用戶登錄所提交的賬號以明文形式出現在POST 請求數據包中。如圖2（1）所示，登錄的賬號以明文形式發送，對密碼則進行了加密處理。

通過Wireshark 分析，雖然能夠定位表示密碼的字段，但無法直接獲取密碼原文。經過多次登錄操作，重復輸入相同賬號密碼，發現相關報文中密碼字段相同。因此，人人網針對用戶密碼所采用的加密機制無法抵抗重放攻擊。因此，雖然人人網對于HTTP 協議的明文傳輸問題采取了相應的安全措施，但其加密方案不夠完善，仍存在安全隱患。

圖2 人人網多次登錄報文

3.2.2 案例2

某省份高考志愿填報系統涉及考生的考號、學籍號、志愿填報，數據安全敏感度很高。考生通過該系統輸入自己的考號，學校等信息，來進行志愿的填報。但是，該系統網站登錄仍采用HTTP 協議，雖然也針對部分字段進行了加密操作，但其加密機制也存在一定安全風險。

使用Wireshark 捕獲該網站登錄場景的數據包，并篩選出HTTP 協議報文。如圖3 所示，登錄涉及的“POST”報文中包含賬號明文，密碼則進行了加密操作。通過對捕獲報文進行對比分析，密碼字段雖然被加密，但多次登錄后，所得到的密文相同。因此，該網站所采用的加密措施存在漏洞，無法抵御重放攻擊，存在一定的安全風險。

圖3 某省志愿填報系統登錄報文

以上兩個案例沒有針對賬號進行加密處理，用戶賬號存在直接泄露的風險，而賬號往往為用戶的手機號或郵箱。賬號的泄露也會給用戶帶來安全威脅，攻擊者可以針對用戶偽造更具誘騙性的釣魚郵件或詐騙短信。

此外，以上兩個案例雖然針對密碼字段進行了加密，但其加密機制存在漏洞，每次密文相同，無法抵抗重放攻擊。

3.3 應對措施

以上案例說明部分網站運營者未采取有效安全措施保障用戶的數據安全。從法律角度上講，依據《中華人民共和國網絡安全法》，網站運營者應切實采取措施保障用戶數據安全。針對HTTP 協議的安全漏洞，建議網站運營者加快部署HTTPS 協議。在過渡階段，也應利用完善的加密機制針對敏感字段進行加密，防止重放攻擊行為。

此外，用戶平日使用網絡時也應采用相應措施保障自身數據安全。首先，在登錄重要網站時，確保所接入的網絡安全性。若無法確定所接入網絡安全性，建議盡量采用手機移動網絡登錄重要網站。其次，在設置密碼時，重要網站盡量設置不同的密碼，降低某一網站賬號泄露帶來的安全風險。最后，在收到網站發來的驗證短信及郵件時，認真查驗其真實性，不輕易訪問郵件連接，防范釣魚短信及郵件。

4 結論

本文通過流量分析的方法，利用wireshark 軟件針對部分網站登錄流量進行了調查分析。通過分析發現，部分網站仍采用HTTP 協議進行登錄操作，存在賬號密碼泄露的風險。此外，部分網站雖然針對部分字段進行了加密，但其加密機制可能存在其他安全漏洞，仍存在泄露風險。因此，網站運營者應加快HTTPS 協議部署，采用安全可靠的加密機制保障用戶數據安全。此外，本文僅針對登錄場景進行分析，后續將針對多場景流量開展分析。