今天日常调试程序抓包过程中突然看到非我司域名的请求,顿生疑惑。
前面三个请求的域名还是什么 www.cdnaccelerationcache.com 看起来似乎是个 cdn ,后面什么 winners.club 看着就明显不对劲了,再展开看响应还是什么“以德会友 智者博弈”。。。一看就不是什么正经东西。
马上搜了前端和移动端的代码都没找到相关域名,于是又到抓包软件重新捋了一下,最后发现居然是 vconsole.min.js 被植入。
前端开发同学在使用 vconsole 的时候使用了 bootcdn 的地址: https://cdn.bootcdn.net/ajax/libs/vConsole/3.12.1/vconsole.min.js 。
今天正好我抓包的时候被我抓到了,不知道是中间运营商干的还是 bootcdn 被污染了。
真是曹蛋,再次提醒,项目里不要直接通过第三方 URL 引用外部 JS 。
下面附抓包截图
PS:抓包时的网络运营商是四川移动,用的还是企业专线。
 | 1 oyama Apr 28, 2025 via iPhone 我猜 bootcdn 污染了,已经上了 https 了,运营商劫持不了了 |
 | 2 MarkP Apr 28, 2025 |
 | 3 ultimate42 Apr 28, 2025 我现在只用字节的 cdn 了 |
 | 4 4UyQY0ETgHMs77X8 Apr 28, 2025 @ultimate42 #3 字节的服务器服务听恶心的所以对整个火山印象不好,特别两次备案折腾的我筋疲力尽 |
 | 6 Apr 28, 2025 @FlorentinoAriza 备案这事,只要换云服务商都需要再备案一次。 我都在华为、阿里、腾讯、火山都备过案 |
 | 7 yafoo Apr 28, 2025 via Android 之前有人发过帖子,是 bootcdn 的问题 |
 | 8 iyaozhen Apr 28, 2025 bootcdn 都多少年了,还有人用,出过几次问题了 |
| 9 4UyQY0ETgHMs77X8 Apr 28, 2025 @pony2335 #6 主要是备案时间火山比阿里腾讯长,而且频繁打回,阿里腾讯平台审核客服给你打电话帮你改,而且阿里服务器还会追加时长,火山什么都没有,服务器第一次备案打回就消耗了一个月 |
 | 12 deplives Apr 28, 2025  |
| 13 pony2335 Apr 28, 2025 @FlorentinoAriza 我是做备案接入,3 天就过了。 |
 | 14 4UyQY0ETgHMs77X8 Apr 28, 2025 @pony2335 #13 我备案接入用了 15 天,期间有清明假期可以理解,但频繁打回很多标注不明显以及不补时长的政策有些.... 我承认我是有些笨拙了 |
 | 15 barnett Apr 28, 2025 同四川移动和飞速 为移动申冤这还真不是移动的锅 现在运营商没有劫持 SSL 还不带证书错误的能力 你这是 bootcdn 投毒 很早之前就遇到了 半夜网站跳色站 |
 | 16 NewYear Apr 28, 2025 bootcdn 出了一次又一次的问题,是投毒惯犯。 但你非就是要用他,你说我们能说啥呢。 唉!!! 但凡百度一下都能知道啊。 最后不得不说一句,“JS 库”投毒屡见不鲜,做项目为啥不能用自己的地址呢? 想不通,省不了几个流量的啊。 |
 | 18 hessian OP |
 | 19 JensenQian Apr 28, 2025 |
| 20 NewYear Apr 28, 2025 @hessian #18 是不是他们自己投毒没人能确认,但估计也差不多就是了,毕竟这玩意又没什么技术含量,主要就是烧流量。 HTTPS 又不可能劫持,虽然大家会说国产根证书啥的,但现在根本不敢搞,谁搞谁消失(吊销掉该机构),然后全世界出名。 以前的前端选手特别爱用第三方的 JS 库,主打的就是一个白嫖的快乐。 但……商业项目这样搞其实根本不靠谱,自家放个 JS 库也不耽误多大事。。。。 咱就说非要白嫖的话选大厂嘛,毕竟人家服务器多,流量烧得起。。。 我自己的话也用第三方,但……除了写油猴脚本(没服务器场景)、临时测代码玩,其他场景完全不可能用第三方。 |
 | @hessian #18 你在测试时发现供应链投毒,是幸运的。这种投毒是在特定 ip 区段小比例投毒的,绝大多数情况下,公司内部测试是不会发现的。 你有想过他们的商业模式吗?中国的流量成本是很高的,他们只是为了情怀?想想就细思极恐。 自己服务器上放这些 js 库,静态文件 http(s)是压缩传输并且会长期缓存在浏览器里的,相比网站页面和图片,几乎可以忽略不计。 |
 | 23 wy78200 Apr 29, 2025 我们公司已经禁用 bootcdn 的资源了 |
 | 24 fstab May 6, 2025 不光是 BootCDN 是供应链投毒,还有 lnmp 和 OneinStack 也是 所以这些东西,还是手搓安全,现在有 AI 加持了,也不是很复杂了。 https://www.freebuf.com/articles/network/401262.html |
Select Language