免费代理服务器为何免费?
笔者2013年曾发表过一篇文章《免费代理办事器为何免费?》——文中提及代理办事器之所以免费,是因为其可以轻松感化用户的上网行为并收集数据。而最新上线的Proxy Checker可以检测代理办事器的安全性。
后来,为了找到那些利用了文章中所述的免费代理办事器,我写了个极简单的脚本(实际就是一个PHP函数),从差别的位置恳求获取Javascript文件并检测可修正的内容。
评测方法
要是你并不体贴代码,请直接跳至检测结果。
我说这个脚本“极简单”是因为这是个完整函数:
/民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主**/
/* scanProxy function by Christian Haschek christian@haschek.at */
/* It's intended to be used with php5-cli .. don't put it on a web server */
/* */
/* Requests a specific file ($url) via a proxy ($proxy) */
/* if first parameter is set to false it will retrieve */
/* $url without a proxy. CURL extension for PHP is required. */
/* */
/* @param $proxy (string) is the proxy server used (eg 127.0.0.1:8123) */
/* @param $url (string) is the URL of the requested file or site */
/* @param $socks (bool) true: SOCKS proxy, false: HTTP proxy */
/* @param $timeout (int) timeout for the request in seconds */
/* @return (string) the content of requested url */
/民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主**/
function scanProxy($proxy,$url,$socks=true,$timeout=10)
{
$ch = curl_init($url);
$headers["User-Agent"] = "Proxyscanner/1.0";
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_HEADER, 0); //we don't need headers in our output
curl_setopt($ch, CURLOPT_HTTPPROXYTUNNEL, 0);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT ,$timeout);
curl_setopt($ch, CURLOPT_TIMEOUT, $timeout);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //return output as string
$proxytype = ($socks?CURLPROXY_SOCKS5:CURLPROXY_HTTP); //socks or http proxy?
if($proxy)
{
curl_setopt($ch, CURLOPT_PROXY, $proxy);
curl_setopt($ch, CURLOPT_PROXYTYPE, $proxytype);
}
$out = curl_exec($ch);
curl_close($ch);
return trim($out);
}
你可以用这个函数做种种分析:
·查抄代理是否隐藏了你的IP,通过 http://ip.haschek.at 找到你的IP,然后你可以在参考数据中查抄是否有与你的IP相同的;
·查抄代理是否利用的https隧道传输(一种安全传输协议),要是不是,那大概是办事器拥有者想检察明文,然后从中提取数据;
·查抄代理是否修正了静态网页(例如:添加广告)。
分析443个免费代理办事器
我从种种渠道获得了代理办事器的信息,但是我发现Google有通向所有网站的链接
我们需要检测什么
·是否利用了HTTPS?
·是否修正了JS内容?
·是否修正了静态网页?
·是否隐藏了我的IP?
评测结果
表格.png
如今题目来了:75%的代理办事器是安全的?
仅仅因为一个代理办事器“不积极”地修正你的内容,这并不料味着它就是安全的。利用免费代理办事器的的唯一安全的方法就是要是HTTPS可用,你只拜访实施HTTPS的站点即可。
只有21%代理办事器利用了HTTPS。
令人震惊的结果
出人意料的是,会有云云多的代理禁止HTTPS流量。代理办事器这么做大概是因为他们想让你利用HTTP,这样它就能分析你的流量并盗取你的登录凭证了。
199个代理办事器中只有17个(8.5%)修正JS,他们中大多出都被注入了客户广告。但是其中只有两个是错误信息大概web过滤器告诫。
33个代理办事器(16.6%)活泼于修正静态HTML页面并且注入广告。
他们中的大多数在结束标签之前参加了上面这段代码:
绝对的恶意广告,及大概存在cookie盗取。然而,笔者并没有进一步举行检测。
另一个广告注入代理办事器更加“风雅”。他们页面的注入脚本如下:
有趣的是,他们指向一个看起来像是当地的JS。当欣赏器通过代理办事器恳求这一文件,代理就会劫持恳求然后复兴一个受熏染的JS。因为它和另一个相同,并非一个跨域JS链接。
要是你仍然认为本身有必要利用一个免费代理办事器,尝试利用一个HTTPS可用的,并且要拜访安全的站点。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
上一篇: 黑客盗取企业用户邮箱信息炒股 SEC追查
