这是一个创建于 2040 天前的主题,其中的信息可能已经有所发展或是发生改变。
继昨天的 《直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。》
为了简单模拟“被劫持”的场景,这里就不搭 WiFi 之类的设备了,直接用最快捷的办法:浏览器 HTTP 代理。(事实上用代理时被劫持也是很常见的~)
我在自己的云主机上,临时开了一个 HTTP 服务:
主机:47.104.178.133 (或者直接填域名 alert.fun )
端口:8080
为了节省流量,就不开反向代理了,所以访问任意 HTTP 网站都会变成这个样子:
点击查看结果,里面就是嗅探到的各大网站 Cookie:
当然,这里只取了 10 个站点测试而已。100 个也一样,只是多耗一些流量而已。
这个页面比较简单,没做授权功能,只要提交和查看时 IP 没变就行。所以测试前保管好隐私,测完及时清理,泄露概不负责~
(由于这个云主机流量有限,请勿恶意刷新。余额用光就下线了)
第 1 条附言 · 2018-09-27 18:07:16 +08:00
注意:代理设置里 只填 HTTP 代理,其他的不要填,否则结果页面就看不到了。(真实场合下也只能解 HTTP 的流量,其他加密流量只能纯转发)
132 条回复 • 2018-09-29 21:26:55 +08:00
 |
101
Levi233 2018-09-29 03:17:29 +08:00 via Android
@SP00F 别和这人扯了,你和他扯楼主信口开河的事,他和你扯中间人危害,而对于楼主说的[访问任何一个 http 网页,各大网站的 cookie 都会瞬间泄露]一概选择性无视,视而不见。
对于这种固执的人你和他没什么好说的。 |
|
102
Levi233 2018-09-29 03:18:52 +08:00 via Android
说实话,作为信安从业者看到这个帖子真心无奈。
|
 |
104
binux 2018-09-29 07:09:18 +08:00
@abeholder #99 你禁用第三方 cookie 是没有意义的。
如果你已经被中间人了,直接 http 跳转到要抓 cookie 的站点,直接抓第一方 cookie 就好了。 |
 |
105
lzhd24 2018-09-29 08:03:09 +08:00 via Android  1
大神的重点在于**中间人无处不在**,
你的流量在传输的过程中不知道经过了多少第三方。 只要有一个第三方插入了一个恶意的 js 而如果此时你访问了任意一个包含此 js 的 http 网页 那么那些不严格的 https 网站的 cookie 也会泄露。 注意,重点在于**中间人无处不在** 希望上面几位所谓做安全的能这个意识。 |
|
107
lzhd24 2018-09-29 08:47:52 +08:00 via Android
@Archeb 那可能是因为你不太了解楼主,以前在乌云的时候,楼主就比较幽默风趣,以前的乌云在漏洞报告的时候大家都喜欢起一个非常骚的标题,所以在我看来很有意思,其实大家能从帖子中学到了知识就是赚了,何必纠结于标题呢。
|
 |
108
xfspace 2018-09-29 08:48:06 +08:00 via Android
|
 |
109
XFLx2 2018-09-29 09:09:13 +08:00 3
@lzhd24 大哥讲讲道理啊!文不对题就是文不对题,别扯什么乌云,都倒闭多少年了。就事论事,我们就讨论[访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露].人人都靠噱头装逼,误导小白。还搞什么技术,搞什么安全,去 UC 部经练一番。直接就出去拉客户得了
|
 |
110
coymail 2018-09-29 09:12:35 +08:00
想说“中间人的危害”就老老实实起个“中间人劫持获取大部分站点 cookie ”的标题,或者正文描述清楚。既然做了标题党,就不要怪网友谈论“标题党的危害”
|
 |
111
FreeEx 2018-09-29 09:20:20 +08:00 via Android
我是 uc 震惊部的,楼主有意愿来我司就职吗?
|
 |
112
z54749412 2018-09-29 09:28:46 +08:00
问下 不挂代理你能获取这些网站的 cookie 么?不知道你有什么爆料的,好想随便找个计算机专业的都知道这个常识吧。。。
|
|
115
z54749412 2018-09-29 10:37:22 +08:00 1
@lzhd24 标题-----我发现一个漏洞,可以把你的钱都存到我的银行卡里。内容: 要求你每次去存钱转账的时候填我的账户名字就行了。我就可以拿到你的钱了。
|
 |
116
internelp 2018-09-29 11:13:09 +08:00
我还以为是楼主发现了什么了不得的方法呢,昨天看不明白还被吓得够呛。
原来是中间人攻击。 呵呵。 |
 |
117
jadec0der 2018-09-29 11:56:54 +08:00
@SP00F 对啊,问题就是你的网络现在肯定就有中间人在看着,而且还不止一个,只要给运营商交钱,任何公司都可以当你的中间人。你觉得你的 cookie 泄露给中间人没问题?
我觉得我们在事实上并没有分歧,只是你觉得中间人是少见的,只有某些人才会被攻击。而我觉得中间人是无处不在的,在考虑安全问题的时候直接把网络流量当成明文的。 |
|
118
jadec0der 2018-09-29 12:00:55 +08:00
@Levi233 信安从业者觉得在中国只要给运营商交钱就能拿到用户 cookie 是常识是吧? Sorry,外行人真的不知道你们这些从业者就是这么维护国人的信息安全呢。
|
 |
119
rock6y 2018-09-29 12:01:43 +08:00 via Android
隔着屏幕都闻到了楼主绝望的气息 😂
|
|
120
XFLx2 2018-09-29 12:46:45 +08:00 1
@jadec0der 赞同并且理解你要传达的意思,但是如果涉及中间人,我个人觉得这个标题完全没必要拿出来讲。
如果按照 [中间人无处不在] 的逻辑,那么我也可以讲: 《直到现在仍有不少人认为,只要没有网络中间人截包,密码不使用加密输入控件问题不大》 [“简单原理”揭秘] :公司为了内网安全,网管在每个员工电脑上装拨号软件。揭秘:这个拨号软件记录你键盘输入。 在公司只要想上网,拨号软件无处不在,没了网管还 QQ 还有邪恶资本主义的 windows 系统, [只要想都可以] 记录你的键盘输入。你在互联网上用的所有东西都不是你自己的, [中间人无处不在] 。什么?你想讨论断网情况下?你这个杠精! 我还可以讲: 《直到现在仍有不少人认为,只要是个神,只要不上马路待在家里就不会出车祸》 [“简单原理”揭秘] :大自然的龙卷风,刮了一辆车。把在阳台的你撞死了。你活着是因为你自己想活着吗?错了是大自然不想杀死你,大自然无所不在。什么?你想讲道理?你这个杠精! 所以楼主错了吗?没有。 攻击的回帖都是杠精吗?不是。 是谁杠了谁?是我杠了我。干! |
|
121
XFLx2 2018-09-29 12:48:10 +08:00
《直到现在仍有不少人认为,只要是个人,只要不上马路待在家里就不会出车祸》。错别字,干!
|
 |
122
Artists 2018-09-29 13:07:03 +08:00
同源策略
|
 |
123
takeeasy 2018-09-29 13:12:14 +08:00
不想争论“标题党”的事情
LZ 这个是有大前提的,中间人攻击无处不在(事实上普遍程度正常人根本想象不到),很多人觉得自己的电脑没中马,没被黑客攻击,只用自己家的网络就很安全了,我只能说 too young,你随时随地都在被攻击(没错)。 我就不信 v 站这么多人没经历过以下诡事: 1. 微博在自己不知情的时候突然关注了一个人,点了一个赞? 2. 你的淘宝莫名其妙加了一个收藏,加了个购物车商品? 3. ... 有利益的地方就有人敢冒风险,不过对方是人,还是机构,还是(你懂得。。) |
|
124
Levi233 2018-09-29 13:18:04 +08:00 via Android 2
@jadec0der 麻烦你搞清楚,我,包括我在内喷楼主的所有人,谁说了中间人没危害这个话题?
现在根本不是讨论中间人的事情,因为中间人无法避免。目前的唯一解决办法除了全面普及 https 其余的都是治标不治本。 这个问题的本质是所谓的“各大网站”没有全面普及 https 禁用 http,导致恶意用户在网页内请求那些各大站点非 https 链接,从而导致 cookie 泄露,全站使用 ssl 禁用 http 是没有这个问题的,不然证书的存在毫无意义! 而楼主的主题是“随便点进一个 http 垃圾站是有危害的” 这个危害本质是中间人危害,而不是跨域漏洞什么的。 既然中间人无处不在 各大站点在没全面普及 https 的时候,无论你点不点 http 垃圾站,你的 cookie 都会被中间人,楼主获取 weibo 的 cookie 也是利用了 weibo 的某个 http 链接。 而楼主所说的信息泄露的责任主体是“ http 垃圾站”,而从中间人的角度来看,责任主体是“各大站点”没有全面普及 https。 全面普及 https 后除非劫持证书,不然是不会发生“随便点一个 http 站点,各大网站信息泄露的” 所以回到话题,中间人获取我的信息,该获取的都能获取到,跟我点 http 垃圾站有什么关系?什么叫“点了 http 站点你各大网站 cookie 瞬间泄露” 这里抛出个问题,点一个存在恶意的 https 网页就不会导致没普及 https 的各大网站的 cookie 泄露了么? |
|
125
z54749412 2018-09-29 15:04:27 +08:00
@takeeasy 这个大前提有什么用呢?你挂着代理,还不让代理拿到你的信息? 就像你说你把钱存银行,还不能让银行知道你是谁?也不能定时给你涨利息,也不能让银行知道你的账号?
|
 |
126
lsylsy2 2018-09-29 15:18:22 +08:00
@Levi233
>>所以回到话题,中间人获取我的信息,该获取的都能获取到,跟我点 http 垃圾站有什么关系?什么叫“点了 http 站点你各大网站 cookie 瞬间泄露” 假如用户不点 HTTP 垃圾网站,中间人就无法“通过修改网页内容、控制用户的浏览器去用 HTTP 明文访问大网站”,用户假如只上 HTTPS 网站的话,中间人获取不到(或者至少难很多) >>这里抛出个问题,点一个存在恶意的 https 网页就不会导致没普及 https 的各大网站的 cookie 泄露了么? 网页本身本来就啥都获取不到,只有中间人能获取的到。 只不过 http 情况下,中间人可以把用户访问的任意网站“变成”恶意网站。 |
|
127
lsylsy2 2018-09-29 15:20:07 +08:00
当然,LZ 标题描述确实有不准确的地方,被获取 cookie 的核心风险还是“大网站”没有做好全站强制 https。
但是“在有中间人的环境下,访问一个 http 网站”是触发这个风险的重要步骤。 |
|
128
jadec0der 2018-09-29 15:46:15 +08:00
|
|
130
binux 2018-09-29 17:12:36 +08:00 1
@lsylsy2 #126 就算你不点任何 http 网站,windows 依旧会自动访问 http://www.msftconnecttest.com/redirect
|
 |
131
Neoth 2018-09-29 17:27:11 +08:00
其实这个楼主,自己脑子是混乱的。他说的是四件事:
1,运营商劫持 dns,将你浏览器访问引导到运营商制作的主页,现在运营商 isp 插的流氓广告就是这么个玩意 2,运营商在此页面隐藏位置设置了个 iframe,或者就直接插代码,里面放了大量网站登录入口链接,比如淘宝,百度,腾讯,而且必须是 http 的 link 3,当你的浏览器访问劫持页面--比如运营商现在作的流氓广告,那么就激活这个页面上各大网站登录,cookie 被明文 http 送出去 4,运营商用最简单嗅探器就能拿到你的 各大网站 http 登录 cookie |
 |
132
SP00F 2018-09-29 21:26:55 +08:00
|
Select Language