內網很安全？錯錯錯！附攻擊演示

給企業做單點登入諮詢和實施的時候，講到通訊環節的安全性，常聽到這種聲音：這些系統只在內網使用，不用https沒關係！

包括在我前一篇《 ofollow,noindex" target="_blank">看完48秒動畫，讓你不敢再登入HTTP網站 》的評論裡，也有不少程式猿覺得我演示的案例，在現實網路中難以實現。

這個觀點非常錯誤和危險，並且還特別迎合直觀：內網遮蔽了絕大部分外部的黑客攻擊，應該會安全得多吧？

為此，我把給企業做培訓和顧問時，常會演示的程式，給大家做個分享。

當內網中有人執行這個程式，你在自己電腦上網會被同事實時“直播”；手機明明連的是公司有“安全”標記的wifi，訪問單位OA時竟也會被輕鬆嗅探走賬號密碼。大部分人都會目瞪口呆，徹底改變“內網很安全”、“標記了'安全'的公司wifi很安全”的認識。

這個版本，是在我github開源的HttpHijacker基礎上，增加了三個功能：

1. 網路裝置嗅探

2. ARP欺騙

3. 資料包轉發

涉及到的都是最基礎的網路協議。

大家在自己電腦執行本程式，可以看到同一區域網段或wifi的上網裝置，並選擇其中任一裝置執行監聽。

被監聽裝置上的所有http訪問，都會實時被該程式監聽並記錄。

選擇被監聽到的任一條記錄，點選“劫持選中http會話”，你的瀏覽器會自動開啟該站點，並用被劫持者的賬號身份登入，可隨意檢視和修改資料。

——咳咳，考慮到好奇心甚的程式猿們，拿該程式可能造成的影響或者揹負的嫌疑，我把程式做了一點限制：程式碼不開源；監聽記錄URL做截斷；將可劫持的域名限制為attack-demo.baibaomen.com。

大家要驗證和演示http會話劫持，請讓其他同事用區域網的電腦或wifi手機，訪問http://attack-demo.baibaomen.com，在其中輸入任意賬號或密碼後進入個人設定介面。與此同時，你在電腦上啟動監聽程式，選擇或手動輸入同事電腦IP點選監聽，將實時監聽到該同事的站點瀏覽情況，選擇劫持還將自動以其身份進入被劫持系統，隨意檢視和操作資料。

程式新增到了 https://github.com/baibaomen/Baibaomen.HttpHijacker ，下載“百寶門內網攻擊演示程式.zip”，解壓即可執行。程式在本人開源的HttpHijacker上，增加了一些網路攻擊的演示功能。

程式執行時會在網路上啟動ARP攻擊，請慎重體驗。對於閘道器上做了MAC地址繫結的網路環境，該攻擊一般只會導致目標機器和閘道器通訊的中斷（單向MAC欺騙成功）。

希望通過這個程式的演示，能讓大家都意識到網路安全性很脆弱。也藉此給出的警示，能儘快把國外已經先行力推的https，引入我們企業的資訊化建設中來。至少，希望在SSO這個把所有雞蛋（被整合系統的賬號密碼）都放在一個籃子的場景裡，https能儘快成為企業認可的必選項。