首页   注册   登录
ONLINE

SP00F

V2EX 第 129164 号会员,加入于 2015-07-27 19:10:32 +08:00
今日活跃度排名 9286
SP00F 最近回复了
@jadec0der #117 我们理解一个技术理解危害,只要经过别人就肯定会有攻击的风险。只是楼主这个标题就让很多人吐槽了……

起码描述场景应该清楚一点吧
@Levi233 #102 以前就是做安全的,现在又想摸回圈子玩了。。
@jadec0der #98 没有说拿到微博的 cookie 就是自然而然并且可以接受的,只是楼主说的只要 HTTP 网页就能泄露各大网站的 cookie,这句话是不是有点搞笑?起码你要说清楚是劫持插入 A、B 站资源抓 cookie 吧。并不是 [访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。]

新闻内的说明也是和运营商合作,抓取,操作类似中间人攻击,只是这中间人放在了合法的运营商里面直接抓了。
@jadec0der #93 这个就是中间人攻击来自运营商的强 X,而不是访问一个 HTTP 网页就能泄露各大网站的 cookie。。。请阅读理解一下。。

你搭一个 HTTP 网页给我我去访问请泄露一下我的 cookie。。。要讨论问题也要把内容描述清楚好吧。别上来就是 [殊不知,只要允许了三方 Cookie (各大浏览器默认允许),访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露。。。(原理很简单,大家可以想想为什么)]

注意: [访问任何一个 HTTP 网页]

你要描述清楚是来自中间人攻击劫持等等问题就没有这么多人吐槽楼主了。。
楼主很牛批,描述的基本都是中间人攻击。 非要说只要访问 HTTP 就能泄露各大网站的 cookie

实际上是我作为一个中间人,劫持了 A.COM 里面加载一些 B.COMC.COMD.COM 的资源就能取到 B.COMC.COMD.COM 的 cookie。

而不是楼主所说的访问任何一个 HTTP 网页,各大网站的 cookie 瞬间就能泄露(这里楼主描述有误,说明是中间人攻击一切就真相大白了好嘛。。非要说访问任何一个 HTTP 网页就能泄露各大网站的 cookie )

非要禁止的话,请从源头处理。。。你的路由可以中间人你,你的运营商可以中间人你,你的骨干可以劫持你等等等等。。

而且也非一定要在 A.COM 里面加载 B.COM 的资源获取 B.COM 的 cookie。。只要你用着运营商的网络,就有可能被中间人。不管你是不是 HTTPS。。。只要 B.COM 是用户常上网站,那就是要被攻击的目标。
中间人攻击。。。。

如果在流量层拦截或者过滤,其实也算中间人攻击。。。

都走代理了,能不泄露吗。。。哪怕不走代理,你的运营商,你的骨干机房。全都可以获取得到你的 cookie。。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2781 人在线   最高记录 3762   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 7ms · UTC 10:16 · PVG 18:16 · LAX 03:16 · JFK 06:16
♥ Do have faith in what you're doing.
沪ICP备16043287号-1