V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mytry
V2EX  ›  程序员

“简单原理”揭秘演示,访问任意 HTTP 页面各大网站 Cookie 被劫持

  •  
  •   mytry · 2018-09-27 17:00:22 +08:00 · 14453 次点击
    这是一个创建于 2250 天前的主题,其中的信息可能已经有所发展或是发生改变。

    继昨天的 《直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。》

    为了简单模拟“被劫持”的场景,这里就不搭 WiFi 之类的设备了,直接用最快捷的办法:浏览器 HTTP 代理。(事实上用代理时被劫持也是很常见的~)

    我在自己的云主机上,临时开了一个 HTTP 服务:

    s1.png

    主机:47.104.178.133 (或者直接填域名 alert.fun )

    端口:8080

    为了节省流量,就不开反向代理了,所以访问任意 HTTP 网站都会变成这个样子:

    s2.png

    点击查看结果,里面就是嗅探到的各大网站 Cookie:

    s3.png

    当然,这里只取了 10 个站点测试而已。100 个也一样,只是多耗一些流量而已。

    这个页面比较简单,没做授权功能,只要提交和查看时 IP 没变就行。所以测试前保管好隐私,测完及时清理,泄露概不负责~

    (由于这个云主机流量有限,请勿恶意刷新。余额用光就下线了)

    第 1 条附言  ·  2018-09-27 18:07:16 +08:00

    注意:代理设置里 只填 HTTP 代理,其他的不要填,否则结果页面就看不到了。(真实场合下也只能解 HTTP 的流量,其他加密流量只能纯转发)

    132 条回复    2018-09-29 21:26:55 +08:00
    1  2  
    Levi233
        101
    Levi233  
       2018-09-29 03:17:29 +08:00 via Android
    @SP00F 别和这人扯了,你和他扯楼主信口开河的事,他和你扯中间人危害,而对于楼主说的[访问任何一个 http 网页,各大网站的 cookie 都会瞬间泄露]一概选择性无视,视而不见。

    对于这种固执的人你和他没什么好说的。
    Levi233
        102
    Levi233  
       2018-09-29 03:18:52 +08:00 via Android
    说实话,作为信安从业者看到这个帖子真心无奈。
    SP00F
        103
    SP00F  
       2018-09-29 06:34:39 +08:00
    @Levi233 #102 以前就是做安全的,现在又想摸回圈子玩了。。
    binux
        104
    binux  
       2018-09-29 07:09:18 +08:00
    @abeholder #99 你禁用第三方 cookie 是没有意义的。
    如果你已经被中间人了,直接 http 跳转到要抓 cookie 的站点,直接抓第一方 cookie 就好了。
    lzhd24
        105
    lzhd24  
       2018-09-29 08:03:09 +08:00 via Android   ❤️ 1
    大神的重点在于**中间人无处不在**,
    你的流量在传输的过程中不知道经过了多少第三方。
    只要有一个第三方插入了一个恶意的 js
    而如果此时你访问了任意一个包含此 js 的 http 网页
    那么那些不严格的 https 网站的 cookie 也会泄露。
    注意,重点在于**中间人无处不在**
    希望上面几位所谓做安全的能这个意识。
    Archeb
        106
    Archeb  
       2018-09-29 08:37:08 +08:00 via Android
    @lzhd24 这点我不否认,楼主想表达的意思我也明白,但是完全就是标题党,这让我很反感
    lzhd24
        107
    lzhd24  
       2018-09-29 08:47:52 +08:00 via Android
    @Archeb 那可能是因为你不太了解楼主,以前在乌云的时候,楼主就比较幽默风趣,以前的乌云在漏洞报告的时候大家都喜欢起一个非常骚的标题,所以在我看来很有意思,其实大家能从帖子中学到了知识就是赚了,何必纠结于标题呢。
    xfspace
        108
    xfspace  
       2018-09-29 08:48:06 +08:00 via Android
    XFLx2
        109
    XFLx2  
       2018-09-29 09:09:13 +08:00   ❤️ 3
    @lzhd24 大哥讲讲道理啊!文不对题就是文不对题,别扯什么乌云,都倒闭多少年了。就事论事,我们就讨论[访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露].人人都靠噱头装逼,误导小白。还搞什么技术,搞什么安全,去 UC 部经练一番。直接就出去拉客户得了
    coymail
        110
    coymail  
       2018-09-29 09:12:35 +08:00
    想说“中间人的危害”就老老实实起个“中间人劫持获取大部分站点 cookie ”的标题,或者正文描述清楚。既然做了标题党,就不要怪网友谈论“标题党的危害”
    FreeEx
        111
    FreeEx  
       2018-09-29 09:20:20 +08:00 via Android
    我是 uc 震惊部的,楼主有意愿来我司就职吗?
    z54749412
        112
    z54749412  
       2018-09-29 09:28:46 +08:00
    问下 不挂代理你能获取这些网站的 cookie 么?不知道你有什么爆料的,好想随便找个计算机专业的都知道这个常识吧。。。
    z54749412
        113
    z54749412  
       2018-09-29 09:29:49 +08:00
    @lzhd24 就算有中间人又能怎么样呢?就像梯子一样?能因为他是梯子你就不用么?你还是需要翻墙的啊
    Archeb
        114
    Archeb  
       2018-09-29 09:53:26 +08:00 via Android
    @lzhd24 乌云的标题比较抓人眼球 但并不是 lz 这种文不对题的标题党, 当年我也玩乌云
    z54749412
        115
    z54749412  
       2018-09-29 10:37:22 +08:00   ❤️ 1
    @lzhd24 标题-----我发现一个漏洞,可以把你的钱都存到我的银行卡里。内容: 要求你每次去存钱转账的时候填我的账户名字就行了。我就可以拿到你的钱了。
    internelp
        116
    internelp  
       2018-09-29 11:13:09 +08:00
    我还以为是楼主发现了什么了不得的方法呢,昨天看不明白还被吓得够呛。
    原来是中间人攻击。
    呵呵。
    jadec0der
        117
    jadec0der  
       2018-09-29 11:56:54 +08:00
    @SP00F 对啊,问题就是你的网络现在肯定就有中间人在看着,而且还不止一个,只要给运营商交钱,任何公司都可以当你的中间人。你觉得你的 cookie 泄露给中间人没问题?

    我觉得我们在事实上并没有分歧,只是你觉得中间人是少见的,只有某些人才会被攻击。而我觉得中间人是无处不在的,在考虑安全问题的时候直接把网络流量当成明文的。
    jadec0der
        118
    jadec0der  
       2018-09-29 12:00:55 +08:00
    @Levi233 信安从业者觉得在中国只要给运营商交钱就能拿到用户 cookie 是常识是吧? Sorry,外行人真的不知道你们这些从业者就是这么维护国人的信息安全呢。
    rock6y
        119
    rock6y  
       2018-09-29 12:01:43 +08:00 via Android
    隔着屏幕都闻到了楼主绝望的气息 😂
    XFLx2
        120
    XFLx2  
       2018-09-29 12:46:45 +08:00   ❤️ 1
    @jadec0der 赞同并且理解你要传达的意思,但是如果涉及中间人,我个人觉得这个标题完全没必要拿出来讲。

    如果按照 [中间人无处不在] 的逻辑,那么我也可以讲:
    《直到现在仍有不少人认为,只要没有网络中间人截包,密码不使用加密输入控件问题不大》
    [“简单原理”揭秘] :公司为了内网安全,网管在每个员工电脑上装拨号软件。揭秘:这个拨号软件记录你键盘输入。
    在公司只要想上网,拨号软件无处不在,没了网管还 QQ 还有邪恶资本主义的 windows 系统, [只要想都可以] 记录你的键盘输入。你在互联网上用的所有东西都不是你自己的, [中间人无处不在] 。什么?你想讨论断网情况下?你这个杠精!

    我还可以讲:

    《直到现在仍有不少人认为,只要是个神,只要不上马路待在家里就不会出车祸》
    [“简单原理”揭秘] :大自然的龙卷风,刮了一辆车。把在阳台的你撞死了。你活着是因为你自己想活着吗?错了是大自然不想杀死你,大自然无所不在。什么?你想讲道理?你这个杠精!

    所以楼主错了吗?没有。
    攻击的回帖都是杠精吗?不是。

    是谁杠了谁?是我杠了我。干!
    XFLx2
        121
    XFLx2  
       2018-09-29 12:48:10 +08:00
    《直到现在仍有不少人认为,只要是个人,只要不上马路待在家里就不会出车祸》。错别字,干!
    Artists
        122
    Artists  
       2018-09-29 13:07:03 +08:00
    同源策略
    takeeasy
        123
    takeeasy  
       2018-09-29 13:12:14 +08:00
    不想争论“标题党”的事情
    LZ 这个是有大前提的,中间人攻击无处不在(事实上普遍程度正常人根本想象不到),很多人觉得自己的电脑没中马,没被黑客攻击,只用自己家的网络就很安全了,我只能说 too young,你随时随地都在被攻击(没错)。
    我就不信 v 站这么多人没经历过以下诡事:
    1. 微博在自己不知情的时候突然关注了一个人,点了一个赞?
    2. 你的淘宝莫名其妙加了一个收藏,加了个购物车商品?
    3. ...

    有利益的地方就有人敢冒风险,不过对方是人,还是机构,还是(你懂得。。)
    Levi233
        124
    Levi233  
       2018-09-29 13:18:04 +08:00 via Android   ❤️ 2
    @jadec0der 麻烦你搞清楚,我,包括我在内喷楼主的所有人,谁说了中间人没危害这个话题?

    现在根本不是讨论中间人的事情,因为中间人无法避免。目前的唯一解决办法除了全面普及 https 其余的都是治标不治本。

    这个问题的本质是所谓的“各大网站”没有全面普及 https 禁用 http,导致恶意用户在网页内请求那些各大站点非 https 链接,从而导致 cookie 泄露,全站使用 ssl 禁用 http 是没有这个问题的,不然证书的存在毫无意义!

    而楼主的主题是“随便点进一个 http 垃圾站是有危害的”

    这个危害本质是中间人危害,而不是跨域漏洞什么的。

    既然中间人无处不在 各大站点在没全面普及 https 的时候,无论你点不点 http 垃圾站,你的 cookie 都会被中间人,楼主获取 weibo 的 cookie 也是利用了 weibo 的某个 http 链接。

    而楼主所说的信息泄露的责任主体是“ http 垃圾站”,而从中间人的角度来看,责任主体是“各大站点”没有全面普及 https。

    全面普及 https 后除非劫持证书,不然是不会发生“随便点一个 http 站点,各大网站信息泄露的”

    所以回到话题,中间人获取我的信息,该获取的都能获取到,跟我点 http 垃圾站有什么关系?什么叫“点了 http 站点你各大网站 cookie 瞬间泄露”

    这里抛出个问题,点一个存在恶意的 https 网页就不会导致没普及 https 的各大网站的 cookie 泄露了么?
    z54749412
        125
    z54749412  
       2018-09-29 15:04:27 +08:00
    @takeeasy 这个大前提有什么用呢?你挂着代理,还不让代理拿到你的信息? 就像你说你把钱存银行,还不能让银行知道你是谁?也不能定时给你涨利息,也不能让银行知道你的账号?
    lsylsy2
        126
    lsylsy2  
       2018-09-29 15:18:22 +08:00
    @Levi233

    >>所以回到话题,中间人获取我的信息,该获取的都能获取到,跟我点 http 垃圾站有什么关系?什么叫“点了 http 站点你各大网站 cookie 瞬间泄露”

    假如用户不点 HTTP 垃圾网站,中间人就无法“通过修改网页内容、控制用户的浏览器去用 HTTP 明文访问大网站”,用户假如只上 HTTPS 网站的话,中间人获取不到(或者至少难很多)

    >>这里抛出个问题,点一个存在恶意的 https 网页就不会导致没普及 https 的各大网站的 cookie 泄露了么?

    网页本身本来就啥都获取不到,只有中间人能获取的到。
    只不过 http 情况下,中间人可以把用户访问的任意网站“变成”恶意网站。
    lsylsy2
        127
    lsylsy2  
       2018-09-29 15:20:07 +08:00
    当然,LZ 标题描述确实有不准确的地方,被获取 cookie 的核心风险还是“大网站”没有做好全站强制 https。
    但是“在有中间人的环境下,访问一个 http 网站”是触发这个风险的重要步骤。
    jadec0der
        128
    jadec0der  
       2018-09-29 15:46:15 +08:00
    @Levi233 你如果点回 lz 的第一个帖子,就会发现一个硕大的「禁用第三方 cookie 」

    「而楼主所说的信息泄露的责任主体是“ http 垃圾站”」

    cod
        129
    cod  
       2018-09-29 16:46:01 +08:00
    @zzzzzzZ 给跪了,描述太精准
    binux
        130
    binux  
       2018-09-29 17:12:36 +08:00   ❤️ 1
    @lsylsy2 #126 就算你不点任何 http 网站,windows 依旧会自动访问 http://www.msftconnecttest.com/redirect
    Neoth
        131
    Neoth  
       2018-09-29 17:27:11 +08:00
    其实这个楼主,自己脑子是混乱的。他说的是四件事:
    1,运营商劫持 dns,将你浏览器访问引导到运营商制作的主页,现在运营商 isp 插的流氓广告就是这么个玩意
    2,运营商在此页面隐藏位置设置了个 iframe,或者就直接插代码,里面放了大量网站登录入口链接,比如淘宝,百度,腾讯,而且必须是 http 的 link
    3,当你的浏览器访问劫持页面--比如运营商现在作的流氓广告,那么就激活这个页面上各大网站登录,cookie 被明文 http 送出去
    4,运营商用最简单嗅探器就能拿到你的 各大网站 http 登录 cookie
    SP00F
        132
    SP00F  
       2018-09-29 21:26:55 +08:00
    @jadec0der #117 我们理解一个技术理解危害,只要经过别人就肯定会有攻击的风险。只是楼主这个标题就让很多人吐槽了……

    起码描述场景应该清楚一点吧
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2977 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:08 · PVG 21:08 · LAX 05:08 · JFK 08:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.