评测告诉你:那些免费代理悄悄做的龌蹉事儿
来源:互联网 浏览:251次 时间:2015-06-25
笔者2013年曾发表过一篇文章《免费代理服务器为何免费?》——文中提及代理服务器之所以免费,是因为其可以轻松浸染用户的上网行为并收集数据。而最新上线的Proxy Checker可以检测代理服务器的安全性。
后来,为了找到那些使用了文章中所述的免费代理服务器,我写了个极简单的脚本(实际就是一个PHP函数),从不同的位置请求获取Javascript文件并检测可修改的内容。
评测方法
如果你并不关心代码,请直接跳至检测结果。
我说这个脚本“极简单”是因为这是个完整函数:
/**************************************************************************/ /* scanProxy function by Christian Haschek christian@haschek.at */ /* It's intended to be used with php5-cli .. don't put it on a web server */ /* */ /* Requests a specific file ($url) via a proxy ($proxy) */ /* if first parameter is set to false it will retrieve */ /* $url without a proxy. CURL extension for PHP is required. */ /* */ /* @param $proxy (string) is the proxy server used (eg 127.0.0.1:8123) */ /* @param $url (string) is the URL of the requested file or site */ /* @param $socks (bool) true: SOCKS proxy, false: HTTP proxy */ /* @param $timeout (int) timeout for the request in seconds */ /* @return (string) the content of requested url */ /**************************************************************************/ function scanProxy($proxy,$url,$socks=true,$timeout=10) { $ch = curl_init($url); $headers["User-Agent"] = "Proxyscanner/1.0"; curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); curl_setopt($ch, CURLOPT_HEADER, 0); //we don't need headers in our output curl_setopt($ch, CURLOPT_HTTPPROXYTUNNEL, 0); curl_setopt($ch, CURLOPT_CONNECTTIMEOUT ,$timeout); curl_setopt($ch, CURLOPT_TIMEOUT, $timeout); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //return output as string $proxytype = ($socks?CURLPROXY_SOCKS5:CURLPROXY_HTTP); //socks or http proxy? if($proxy) { curl_setopt($ch, CURLOPT_PROXY, $proxy); curl_setopt($ch, CURLOPT_PROXYTYPE, $proxytype); } $out = curl_exec($ch); curl_close($ch); return trim($out); }
你可以用这个函数做各种分析:
·检查代理是否隐藏了你的IP,通过 http://ip.haschek.at 找到你的IP,然后你可以在参考数据中检查是否有与你的IP相同的;
·检查代理是否使用的https隧道传输(一种安全传输协议),如果不是,那可能是服务器拥有者想查看明文,然后从中提取数据;
·检查代理是否修改了静态网页(例如:添加广告)。
分析443个免费代理服务器
我从各种渠道获得了代理服务器的信息,但是我发现Google有通向所有网站的链接
我们需要检测什么
·是否使用了HTTPS?
·是否修改了JS内容?
·是否修改了静态网页?
·是否隐藏了我的IP?
评测结果
现在问题来了:75%的代理服务器是安全的?
仅仅因为一个代理服务器“不积极”地修改你的内容,这并不意味着它就是安全的。使用免费代理服务器的的唯一安全的方法就是如果HTTPS可用,你只访问实施HTTPS的站点即可。
只有21%代理服务器使用了HTTPS。
令人震惊的结果
出乎意料的是,会有如此多的代理禁止HTTPS流量。代理服务器这么做可能是因为他们想让你使用HTTP,这样它就能分析你的流量并窃取你的登录凭证了。
199个代理服务器中只有17个(8.5%)修改JS,他们中大多出都被注入了客户广告。但是其中只有两个是错误信息或者web过滤器警告。
33个代理服务器(16.6%)活跃于修改静态HTML页面并且注入广告。
他们中的大多数在结束标签之前加入了下面这段代码:
绝对的恶意广告,及可能存在cookie窃取。然而,笔者并没有进一步进行检测。
另一个广告注入代理服务器更加“精致”。他们页面的注入脚本如下:
有趣的是,他们指向一个看起来像是本地的JS。当浏览器通过代理服务器请求这一文件,代理就会劫持请求然后回复一个受感染的JS。因为它和另一个相同,并非一个跨域JS链接。
如果你仍然认为自己有必要使用一个免费代理服务器,尝试使用一个HTTPS可用的,并且要访问安全的站点。本文章“好一站分类目录http://cgdyj.com/”编辑收录
转载请注明-原文链接:评测告诉你:那些免费代理悄悄做的龌蹉事儿
- 上一篇: 优秀微博软文的4大特点分析
- 下一篇: 专访阿里国际站总监付必鹏:SEO的生死与发展
推荐资讯
推荐站点
品晖设计(爱站帝) - 打造最简单好用的资源导航下载网
爱站帝(www.aizhandi.cn/)是提供最新绿色软件,精品源码,游戏资讯,技术教程,新闻资讯,精品资源,免费分享,热点事件,在线工具等,努力打造全网络爱好者优质服务的平台,让我们的生活更加精彩!初心仍在,一心分享精品资源文章,提供安全且绿色的文章,精彩文章尽在爱站帝。
aizhanju.cn3117站长服务平台
3117站长服务平台,专注于站长变现、交易支持。友链交换、购买、网站转让、买卖链接、软文发布等业务全覆盖。为站长提供互利共赢的
www.3117.cn我爱啦目录网 - 网站目录_分类目录_网站大全_网址导航_网址大全国内外网址大全应有尽有
我爱啦目录网人工收集编辑国内外网址大全,整理和收藏网站大全导航,让用户快速的找到自己需要的网站大全,用户还可以使用站内网站导航进去搜索国内外网站以及购物、团购、设计、视频、电影、军事、学习、交友、新闻等等的相关网址分类信息。
www.52la.cc免费分类信息网站大全_hao823_网址导航-中国好导航
hao823分类目录网站是免费收录各行业优秀的网站!提供网站分类信息检索、整理分类排序、按行业分类或关键词搜索查询;同时也是网站推广、网站排名、发布外链及提高网站权重等的分类目录平台。
www.hao823.com爱站聚网址大全_网址目录_上网导航_网站提交/登录入口
爱站聚是人工编辑的开放式网站分类目录,收录国内外、各行业优秀网站,旨在为用户提供网站分类目录检索、优秀网站参考、网站推广服务。
www.aizhanju.cn秀目录—网站目录。网站分类目录|网站目录|分类目录
秀目录网站是免费收录各行业优秀的网站!提供网站分类信息检索、整理分类排序、按行业分类或关键词搜索查询;同时也是网站推广、网站排名、发布外链及提高网站权重等的分类目录平台。
www.showmulu.com