给gg补充一个
高级一点的,可以把恶意代码嵌入到图片里去执行。
在img上写带有隐私内容的src?类似jsonp一样传出去吗
这样确实也可能...
话说哥哥为啥这么喜欢猫猫 李恒道 发表于 2022-5-5 10:45
在img上写带有隐私内容的src?类似jsonp一样传出去吗
这样确实也可能...
话说哥哥为啥这么喜欢猫猫 ...
嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~
就是当这个图片被访问的时候,通过一些特殊的操作,使图片里嵌入的代码可以执行各类窃取隐私数据操作,包括Cookie,当时在GF论坛上讨论还是挺热烈的,不过现在我已经找不到这个帖子。
大概流程就是,加载一张图片,通过图片内嵌的代码加载一个JS文件(重点来了,基于安全角度,正常情况下除非有漏洞,否则浏览器是做不到这些的,但是这里有脚本的加持)。
有了脚本提供的环境,这些操作完美的避免了源码审查的问题,隐匿性高,而且动态可更新。 极品小猫 发表于 2022-5-5 13:40
嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~
因为觉得很有意思
我还设置了很多乱七八糟的关键词替换
如果论坛出现两个人对骂很有可能出现乱七八糟互喷自己的情况
比如 吃shi去吧,吃螺蛳粉去吧
极品小猫 发表于 2022-5-5 13:40
嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~
你老婆从下面端来一碗螺狮粉,你很高兴,并津津有味的吃完了这碗螺狮粉。抹了抹嘴边的螺狮粉,打了个饱嗝说:这螺狮粉真香!
没啥毛病呀 脚本体验师001 发表于 2022-5-5 15:10
你老婆从下面端来一碗螺狮粉,你很高兴,并津津有味的吃完了这碗螺狮粉。抹了抹嘴边的螺狮粉,打了个饱嗝 ...
但是我觉得你这人似乎有点毛病 极品小猫 发表于 2022-5-6 13:44
但是我觉得你这人似乎有点毛病
嘿嘿,哪里有毛病,说一下呗 极品小猫 发表于 2022-5-5 13:40
嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~
为了论坛友善,替换了一些关键字,具体哪些我也忘记了 哈哈
这种方式确实很难排查,只能通过浏览器的开发者工具,network,勾选第三方请求去一个一个看了,也还好 王一之 发表于 2022-5-12 09:32
为了论坛友善,替换了一些关键字,具体哪些我也忘记了 哈哈
这种方式确实很难排查,只能通过浏览器的开 ...
是的,那时候一些脚本使用之后会出现广告,那人就想看看什么原因造成的
查 network 发现了一些诡异的请求
结果挖出来某脚本夹了私货……
至此之后对于引用外部资源的脚本,我使用起来都格外注意
页:
1
[2]