評測告訴你：那些免費代理悄悄做的齷蹉事兒

作者：明明知道 2015-06-25 17:28:44

筆者2013年曾發(fā)表過一篇文章《免費代理服務(wù)器為何免費?》——文中提及代理服務(wù)器之所以免費，是因為其可以輕松浸染用戶的上網(wǎng)行為并收集數(shù)據(jù)。而最新上線的Proxy Checker可以檢測代理服務(wù)器的安全性。

后來，為了找到那些使用了文章中所述的免費代理服務(wù)器，我寫了個極簡單的腳本(實際就是一個PHP函數(shù))，從不同的位置請求獲取Javascript文件并檢測可修改的內(nèi)容。

評測方法

如果你并不關(guān)心代碼，請直接跳至檢測結(jié)果。

我說這個腳本“極簡單”是因為這是個完整函數(shù)：

/**************************************************************************/
/* scanProxy function by Christian Haschek christian@haschek.at */
/* It's intended to be used with php5-cli .. don't put it on a web server */
/* */
/* Requests a specific file ($url) via a proxy ($proxy) */
/* if first parameter is set to false it will retrieve */
/* $url without a proxy. CURL extension for PHP is required. */
/* */
/* @param $proxy (string) is the proxy server used (eg 127.0.0.1:8123) */
/* @param $url (string) is the URL of the requested file or site */
/* @param $socks (bool) true: SOCKS proxy, false: HTTP proxy */
/* @param $timeout (int) timeout for the request in seconds */
/* @return (string) the content of requested url */
/**************************************************************************/
function scanProxy($proxy,$url,$socks=true,$timeout=10)
{
$ch = curl_init($url);
$headers["User-Agent"] = "Proxyscanner/1.0";
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_HEADER, 0); //we don't need headers in our output
curl_setopt($ch, CURLOPT_HTTPPROXYTUNNEL, 0);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT ,$timeout);
curl_setopt($ch, CURLOPT_TIMEOUT, $timeout);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //return output as string
$proxytype = ($socks?CURLPROXY_SOCKS5:CURLPROXY_HTTP); //socks or http proxy?
if($proxy)
{
curl_setopt($ch, CURLOPT_PROXY, $proxy);
curl_setopt($ch, CURLOPT_PROXYTYPE, $proxytype);
}
$out = curl_exec($ch);
curl_close($ch);
return trim($out);
}
你可以用這個函數(shù)做各種分析：

·檢查代理是否隱藏了你的IP，通過 http://ip.haschek.at 找到你的IP，然后你可以在參考數(shù)據(jù)中檢查是否有與你的IP相同的;

·檢查代理是否使用的https隧道傳輸(一種安全傳輸協(xié)議)，如果不是，那可能是服務(wù)器擁有者想查看明文，然后從中提取數(shù)據(jù);

·檢查代理是否修改了靜態(tài)網(wǎng)頁(例如：添加廣告)。

分析443個免費代理服務(wù)器

我從各種渠道獲得了代理服務(wù)器的信息，但是我發(fā)現(xiàn)Google有通向所有網(wǎng)站的鏈接

我們需要檢測什么

是否使用了HTTPS?

是否修改了JS內(nèi)容?

是否修改了靜態(tài)網(wǎng)頁?

是否隱藏了我的IP?

評測結(jié)果

現(xiàn)在問題來了：75%的代理服務(wù)器是安全的?

僅僅因為一個代理服務(wù)器“不積極”地修改你的內(nèi)容，這并不意味著它就是安全的。使用免費代理服務(wù)器的的唯一安全的方法就是如果HTTPS可用，你只訪問實施HTTPS的站點即可。

只有21%代理服務(wù)器使用了HTTPS。

令人震驚的結(jié)果

出乎意料的是，會有如此多的代理禁止HTTPS流量。代理服務(wù)器這么做可能是因為他們想讓你使用HTTP，這樣它就能分析你的流量并竊取你的登錄憑證了。

199個代理服務(wù)器中只有17個(8.5%)修改JS，他們中大多出都被注入了客戶廣告。但是其中只有兩個是錯誤信息或者web過濾器警告。

33個代理服務(wù)器(16.6%)活躍于修改靜態(tài)HTML頁面并且注入廣告。

他們中的大多數(shù)在結(jié)束標(biāo)簽之前加入了下面這段代碼：

絕對的惡意廣告，及可能存在cookie竊取。然而，筆者并沒有進一步進行檢測。

另一個廣告注入代理服務(wù)器更加“精致”。他們頁面的注入腳本如下：

有趣的是，他們指向一個看起來像是本地的JS。當(dāng)瀏覽器通過代理服務(wù)器請求這一文件，代理就會劫持請求然后回復(fù)一個受感染的JS。因為它和另一個相同，并非一個跨域JS鏈接。

如果你仍然認(rèn)為自己有必要使用一個免費代理服務(wù)器，嘗試使用一個HTTPS可用的，并且要訪問安全的站點。

責(zé)任編輯：何妍來源：黑客與極客

免費代理網(wǎng)絡(luò)安全

成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

評測告訴你：那些免費代理悄悄做的齷蹉事兒