“简单原理”揭秘演示,访问任意 HTTP 页面各大网站 Cookie 被劫持

2018-09-27 17:00:22 +08:00
 mytry

继昨天的 《直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。》

为了简单模拟“被劫持”的场景,这里就不搭 WiFi 之类的设备了,直接用最快捷的办法:浏览器 HTTP 代理。(事实上用代理时被劫持也是很常见的~)

我在自己的云主机上,临时开了一个 HTTP 服务:

主机:47.104.178.133 (或者直接填域名 alert.fun )

端口:8080

为了节省流量,就不开反向代理了,所以访问任意 HTTP 网站都会变成这个样子:

点击查看结果,里面就是嗅探到的各大网站 Cookie:

当然,这里只取了 10 个站点测试而已。100 个也一样,只是多耗一些流量而已。

这个页面比较简单,没做授权功能,只要提交和查看时 IP 没变就行。所以测试前保管好隐私,测完及时清理,泄露概不负责~

(由于这个云主机流量有限,请勿恶意刷新。余额用光就下线了)

14543 次点击
所在节点    程序员
132 条回复
hpeng
2018-09-28 15:12:47 +08:00
@mytry 你要这么说, 那么配不上你在第一个帖子上描述的, 如果是中间人, 连我这种半桶水的都知道.. 没法演示你上一个帖子描述的, 就没什么新奇的.
GeruzoniAnsasu
2018-09-28 15:32:27 +08:00
#80 +1

其实 lz 这第二帖比第一帖还模糊

明明要说的是 向中间插 js 运营商第三方泄露

强行被理解成谁 http 谁就能拿到泄露



杠精的产生:望文生义+不动脑子+倾向于喷
Shazoo
2018-09-28 15:36:30 +08:00
叹气。看了 10 多分钟的帖子,感觉楼主说的东西我都知道,就是不知道楼主想表达什么。

窃以为楼主通过两个帖子告诉我们:

* 在有中间人攻击的* 网络环境下,一些没有配置 HSTS + includesubdomain/cookie 没配置 secure 的网站的 cookie 是很容易泄露的。大伙赶快声讨他们或者配置自己浏览器拒绝第三方 cookie 啊~~不信?你来试试我这个牛逼(?)实验!
bypythoncom
2018-09-28 15:43:14 +08:00
以前看过楼主的博客,写的很棒,不知道为啥现在喜欢故弄玄虚了。。。
jadec0der
2018-09-28 15:56:31 +08:00
@zpf124 「从昨天到现在一群人」为啥要以为「小站站长可以在你访问它网站的时候跨域偷到其他第三方的 cookie 」?

昨天的帖子说的挺明白了,你看不懂吗?我真的不明白这么简单的问题为什么有人理解错,我替你揪心。

楼主讨论的问题简单有错吗?你对 V2EX 的期望是什么? DEF CON? Black Hat Conference? 觉得简单略过就好啊,为啥要进来胡搅蛮缠?
zpf124
2018-09-28 16:30:29 +08:00
@jadec0der 请你给我翻译翻译什么叫

"殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)"
zzzzzzZ
2018-09-28 17:12:03 +08:00
文章标题《震惊!现在还有很多人认为站在马路上不会死!》
帖子内容《现在还有很多人认为红灯亮的时候过斑马线觉得自己没事》
揭秘演示《摆 10 个假人放在斑马线上,开辆车踩满油门砰一下撞过去》
无脑路人《哇!楼主好牛逼!居然买的起车!没开过车的我觉得好厉害呀!》
正经坛友《人被车撞肯定会出事啊,不要用自己的肉体去检验车的安全性啊,不要闯红灯啊,绿灯再过马路啊,没车的时候还是可以过马路的》
楼主独白《嗯!装了一个大比,帖子里还是有不少愿意捧臭脚的!自尊心满足~》
目前舆论《千万不要站在马路上!否则会死!》
pisser
2018-09-28 17:44:53 +08:00
又看了一下其实这贴说的是效率问题,而且不只单方面问题。服务端和客户端都有缺陷。

搜了一下这文章大概问题表述清楚了。
https://resources.infosecinstitute.com/securing-cookies-httponly-secure-flags/
jadec0der
2018-09-28 17:54:50 +08:00
@zpf124 对啊,中间人。2L 不就看出来了?你没看出来?
luoway
2018-09-28 18:05:03 +08:00
@zzzzzzZ
文章标题《千万不要站在马路上!否则会死!》
帖子内容《震惊!现在还有很多人认为站在马路上不会死!》
揭秘演示《摆 10 个假人放在斑马线上,开辆车踩满油门砰一下撞过去》
无脑路人《哇!楼主好牛逼!居然买的起车!没开过车的我觉得好厉害呀!》
正经坛友《人被车撞肯定会出事啊,不要用自己的肉体去检验车的安全性啊,不要闯红灯啊,绿灯再过马路啊,没车的时候还是可以过马路的》
楼主独白《嗯!装了一个大比,帖子里还是有不少愿意捧臭脚的!自尊心满足~》
目前舆论《现在还有很多人认为红灯亮的时候过斑马线觉得自己没事》
icy37785
2018-09-28 18:12:38 +08:00
楼主第一帖大概再说,大家要穿衣服,不穿衣服很容易就会死。
于是大家好奇,为什么不穿衣服很容易就会死。

于是楼主发了第二帖,用管制刀具一刀就可以干掉没穿衣服的人。
随后很多人就说,我们都知道管制刀具一道就能干掉没穿衣服的人呀,但是这证明不了你的观点呀。对方都有管制刀具了,怎么也算不上简单,而且都有管制刀具了,穿了衣服不是一样能干掉么。
剩下一部分人回复到,你们怎么还没理解楼主说的,管制刀具没你们想得那么难买到,楼主只是讨论管制刀具可以干掉没穿衣服的人,有错么。

我其实能理解楼主,想把标题取得吸引人一点,内容上面除了夸张一点,也不能算错,但是底下回复那部分说没理解楼主说的的那部分人,我就不大能理解了。
Levi233
2018-09-28 19:34:33 +08:00
@jadec0der

"殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)"


就凭这段话的吹嘘程度,你还在帮楼主说话???
麻烦给我一个 http 网页泄露我各大网站的 cookie,谢谢
jadec0der
2018-09-28 19:42:43 +08:00
shuax
2018-09-28 19:59:01 +08:00
我还是 block 吧,看着心烦
Levi233
2018-09-28 20:30:13 +08:00
@jadec0der 访问这个也只会泄露我 sohu 的 cookie,你注意他说的可是各大网站。
sunorg
2018-09-28 20:45:23 +08:00
局域网嗅探也可以了解下
SP00F
2018-09-28 20:46:51 +08:00
@jadec0der #93 这个就是中间人攻击来自运营商的强 X,而不是访问一个 HTTP 网页就能泄露各大网站的 cookie。。。请阅读理解一下。。

你搭一个 HTTP 网页给我我去访问请泄露一下我的 cookie。。。要讨论问题也要把内容描述清楚好吧。别上来就是 [殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)]

注意: [访问任何一个 HTTP 网页]

你要描述清楚是来自中间人攻击劫持等等问题就没有这么多人吐槽楼主了。。
jadec0der
2018-09-28 23:04:51 +08:00
@Levi233 你的理解能力我是见识到了…这次我心疼一下自己好了

@SP00F 我在外企工作,lz 不说我真的不知道国内互联网公司都这么垃圾,就算有中间人你也拿不到 Google Facebook Amazon 的 cookie,为什么能拿到微博的 cookie 就是自然而然并且可以接受的?

有中间人在窥伺用户本来就是做网络安全的默认前提,让中间人拿不到敏感信息也是任何一个公司应该给用户的基本保证,为什么在你这里成了,只有中间人才能拿到,那就没什么大不了的?
abeholder
2018-09-28 23:43:32 +08:00
还在吵 。。。

先站个队 ,站楼主这边 。

对网络安全的知识比较匮乏,之前一直以为中间人只能 xx 裸奔的 http 之类的~

现在我知道了没配置 includeSubDomains 或 preload 的 HTTPS 站点 cookie 也很有可能被中间人在我们访问的任意 http 页面中注入此类脚本而获取。。。

所以我决定还是禁用第三方 cookie~~

另外,谢谢楼主~
SP00F
2018-09-29 02:46:55 +08:00
@jadec0der #98 没有说拿到微博的 cookie 就是自然而然并且可以接受的,只是楼主说的只要 HTTP 网页就能泄露各大网站的 cookie,这句话是不是有点搞笑?起码你要说清楚是劫持插入 A、B 站资源抓 cookie 吧。并不是 [访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。]

新闻内的说明也是和运营商合作,抓取,操作类似中间人攻击,只是这中间人放在了合法的运营商里面直接抓了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/493233

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX