“简单原理”揭秘演示，访问任意 HTTP 页面各大网站 Cookie 被劫持

@SP00F 别和这人扯了，你和他扯楼主信口开河的事，他和你扯中间人危害，而对于楼主说的[访问任何一个 http 网页，各大网站的 cookie 都会瞬间泄露]一概选择性无视，视而不见。

对于这种固执的人你和他没什么好说的。

说实话，作为信安从业者看到这个帖子真心无奈。

@Levi233 #102 以前就是做安全的，现在又想摸回圈子玩了。。

@abeholder #99 你禁用第三方 cookie 是没有意义的。
如果你已经被中间人了，直接 http 跳转到要抓 cookie 的站点，直接抓第一方 cookie 就好了。

大神的重点在于**中间人无处不在**，
你的流量在传输的过程中不知道经过了多少第三方。
只要有一个第三方插入了一个恶意的 js
而如果此时你访问了任意一个包含此 js 的 http 网页
那么那些不严格的 https 网站的 cookie 也会泄露。
注意，重点在于**中间人无处不在**
希望上面几位所谓做安全的能这个意识。

@lzhd24 这点我不否认,楼主想表达的意思我也明白,但是完全就是标题党,这让我很反感

@Archeb 那可能是因为你不太了解楼主，以前在乌云的时候，楼主就比较幽默风趣，以前的乌云在漏洞报告的时候大家都喜欢起一个非常骚的标题，所以在我看来很有意思，其实大家能从帖子中学到了知识就是赚了，何必纠结于标题呢。

同源策略
https://en.m.wikipedia.org/wiki/Same-origin_policy

@lzhd24 大哥讲讲道理啊！文不对题就是文不对题，别扯什么乌云，都倒闭多少年了。就事论事，我们就讨论[访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露].人人都靠噱头装逼，误导小白。还搞什么技术，搞什么安全,去 UC 部经练一番。直接就出去拉客户得了

想说“中间人的危害”就老老实实起个“中间人劫持获取大部分站点 cookie ”的标题，或者正文描述清楚。既然做了标题党，就不要怪网友谈论“标题党的危害”

我是 uc 震惊部的，楼主有意愿来我司就职吗？

问下 不挂代理你能获取这些网站的 cookie 么？不知道你有什么爆料的，好想随便找个计算机专业的都知道这个常识吧。。。

@lzhd24 就算有中间人又能怎么样呢？就像梯子一样？能因为他是梯子你就不用么？你还是需要翻墙的啊

@lzhd24 乌云的标题比较抓人眼球 但并不是 lz 这种文不对题的标题党, 当年我也玩乌云

@lzhd24 标题-----我发现一个漏洞，可以把你的钱都存到我的银行卡里。内容： 要求你每次去存钱转账的时候填我的账户名字就行了。我就可以拿到你的钱了。

我还以为是楼主发现了什么了不得的方法呢，昨天看不明白还被吓得够呛。
原来是中间人攻击。
呵呵。

@SP00F 对啊，问题就是你的网络现在肯定就有中间人在看着，而且还不止一个，只要给运营商交钱，任何公司都可以当你的中间人。你觉得你的 cookie 泄露给中间人没问题？

我觉得我们在事实上并没有分歧，只是你觉得中间人是少见的，只有某些人才会被攻击。而我觉得中间人是无处不在的，在考虑安全问题的时候直接把网络流量当成明文的。

@Levi233 信安从业者觉得在中国只要给运营商交钱就能拿到用户 cookie 是常识是吧？ Sorry，外行人真的不知道你们这些从业者就是这么维护国人的信息安全呢。

隔着屏幕都闻到了楼主绝望的气息 😂

@jadec0der 赞同并且理解你要传达的意思,但是如果涉及中间人，我个人觉得这个标题完全没必要拿出来讲。

如果按照 [中间人无处不在] 的逻辑，那么我也可以讲：
《直到现在仍有不少人认为，只要没有网络中间人截包，密码不使用加密输入控件问题不大》
[“简单原理”揭秘] ：公司为了内网安全，网管在每个员工电脑上装拨号软件。揭秘：这个拨号软件记录你键盘输入。
在公司只要想上网，拨号软件无处不在，没了网管还 QQ 还有邪恶资本主义的 windows 系统， [只要想都可以] 记录你的键盘输入。你在互联网上用的所有东西都不是你自己的， [中间人无处不在] 。什么？你想讨论断网情况下？你这个杠精！

我还可以讲：

《直到现在仍有不少人认为，只要是个神，只要不上马路待在家里就不会出车祸》
[“简单原理”揭秘] ：大自然的龙卷风，刮了一辆车。把在阳台的你撞死了。你活着是因为你自己想活着吗？错了是大自然不想杀死你，大自然无所不在。什么？你想讲道理？你这个杠精！

所以楼主错了吗？没有。
攻击的回帖都是杠精吗？不是。

是谁杠了谁？是我杠了我。干！