上一主题 下一主题
ScriptCat,新一代的脚本管理器脚本站,与全世界分享你的用户脚本油猴脚本开发指南教程目录
12
返回列表 发新帖
楼主: mideng - 

咋看脚本会不会窃取隐私啊

[复制链接]
  • TA的每日心情
    慵懒
    2024-10-28 07:07
  • 签到天数: 193 天

    [LV.7]常住居民III

    712

    主题

    5959

    回帖

    6758

    积分

    管理员

    非物质文化遗产社会摇传承人

    积分
    6758

    荣誉开发者喜迎中秋油中2周年生态建设者

    发表于 2022-5-5 10:45:01 | 显示全部楼层
    极品小猫 发表于 2022-5-5 08:47
    给gg补充一个
    高级一点的,可以把恶意代码嵌入到图片里去执行。

    在img上写带有隐私内容的src?类似jsonp一样传出去吗
    这样确实也可能...
    话说哥哥为啥这么喜欢猫猫
    混的人。
    ------------------------------------------
    進撃!永遠の帝国の破壊虎---李恒道

    入驻了爱发电https://afdian.net/a/lihengdao666
    个人宣言:この世界で私に胜てる人とコードはまだ生まれていません。死ぬのが怖くなければ来てください。
    回复
    订阅

    使用道具 举报

  • TA的每日心情

    2024-8-14 16:46
  • 签到天数: 69 天

    [LV.6]常住居民II

    6

    主题

    127

    回帖

    222

    积分

    高级工程师

    积分
    222

    油中2周年生态建设者

    发表于 2022-5-5 13:40:49 | 显示全部楼层
    李恒道 发表于 2022-5-5 10:45
    在img上写带有隐私内容的src?类似jsonp一样传出去吗
    这样确实也可能...
    话说哥哥为啥这么喜欢猫猫 ...

    嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
    这个ID用了十多年了~



    就是当这个图片被访问的时候,通过一些特殊的操作,使图片里嵌入的代码可以执行各类窃取隐私数据操作,包括Cookie,当时在GF论坛上讨论还是挺热烈的,不过现在我已经找不到这个帖子。

    大概流程就是,加载一张图片,通过图片内嵌的代码加载一个JS文件(重点来了,基于安全角度,正常情况下除非有漏洞,否则浏览器是做不到这些的,但是这里有脚本的加持)。
    有了脚本提供的环境,这些操作完美的避免了源码审查的问题,隐匿性高,而且动态可更新。

    点评

    这“shi”关键词替换闹哪样 ヽ(o_ _)o  发表于 2022-5-5 13:41
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2024-10-28 07:07
  • 签到天数: 193 天

    [LV.7]常住居民III

    712

    主题

    5959

    回帖

    6758

    积分

    管理员

    非物质文化遗产社会摇传承人

    积分
    6758

    荣誉开发者喜迎中秋油中2周年生态建设者

    发表于 2022-5-5 14:03:48 | 显示全部楼层
    极品小猫 发表于 2022-5-5 13:40
    嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
    这个ID用了十多年了~

    因为觉得很有意思
    我还设置了很多乱七八糟的关键词替换
    如果论坛出现两个人对骂很有可能出现乱七八糟互喷自己的情况
    比如 吃shi去吧,吃螺蛳粉去吧

    混的人。
    ------------------------------------------
    進撃!永遠の帝国の破壊虎---李恒道

    入驻了爱发电https://afdian.net/a/lihengdao666
    个人宣言:この世界で私に胜てる人とコードはまだ生まれていません。死ぬのが怖くなければ来てください。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2024-7-30 00:00
  • 签到天数: 122 天

    [LV.7]常住居民III

    29

    主题

    601

    回帖

    542

    积分

    专家

    积分
    542

    油中2周年生态建设者油中3周年挑战者 lv2

    发表于 2022-5-5 15:10:41 | 显示全部楼层
    极品小猫 发表于 2022-5-5 13:40
    嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
    这个ID用了十多年了~

    你老婆从下面端来一碗螺狮粉,你很高兴,并津津有味的吃完了这碗螺狮粉。抹了抹嘴边的螺狮粉,打了个饱嗝说:这螺狮粉真香!
    没啥毛病呀
    回复

    使用道具 举报

  • TA的每日心情

    2024-8-14 16:46
  • 签到天数: 69 天

    [LV.6]常住居民II

    6

    主题

    127

    回帖

    222

    积分

    高级工程师

    积分
    222

    油中2周年生态建设者

    发表于 2022-5-6 13:44:18 | 显示全部楼层
    脚本体验师001 发表于 2022-5-5 15:10
    你老婆从下面端来一碗螺狮粉,你很高兴,并津津有味的吃完了这碗螺狮粉。抹了抹嘴边的螺狮粉,打了个饱嗝 ...

    但是我觉得你这人似乎有点毛病
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2024-7-30 00:00
  • 签到天数: 122 天

    [LV.7]常住居民III

    29

    主题

    601

    回帖

    542

    积分

    专家

    积分
    542

    油中2周年生态建设者油中3周年挑战者 lv2

    发表于 2022-5-6 16:51:27 | 显示全部楼层
    极品小猫 发表于 2022-5-6 13:44
    但是我觉得你这人似乎有点毛病

    嘿嘿,哪里有毛病,说一下呗
    回复

    使用道具 举报

  • TA的每日心情
    开心
    5 小时前
  • 签到天数: 213 天

    [LV.7]常住居民III

    305

    主题

    4189

    回帖

    4056

    积分

    管理员

    积分
    4056

    管理员荣誉开发者油中2周年生态建设者喜迎中秋油中3周年挑战者 lv2

    发表于 2022-5-12 09:32:53 | 显示全部楼层
    极品小猫 发表于 2022-5-5 13:40
    嗯~你可以这么理解~用猫图当头像的,都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
    这个ID用了十多年了~

    为了论坛友善,替换了一些关键字,具体哪些我也忘记了 哈哈

    这种方式确实很难排查,只能通过浏览器的开发者工具,network,勾选第三方请求去一个一个看了,也还好
    上不慕古,下不肖俗。为疏为懒,不敢为狂。为拙为愚,不敢为恶。
    回复

    使用道具 举报

  • TA的每日心情

    2024-8-14 16:46
  • 签到天数: 69 天

    [LV.6]常住居民II

    6

    主题

    127

    回帖

    222

    积分

    高级工程师

    积分
    222

    油中2周年生态建设者

    发表于 2022-5-17 08:31:30 | 显示全部楼层
    王一之 发表于 2022-5-12 09:32
    为了论坛友善,替换了一些关键字,具体哪些我也忘记了 哈哈

    这种方式确实很难排查,只能通过浏览器的开 ...

    是的,那时候一些脚本使用之后会出现广告,那人就想看看什么原因造成的

    查 network 发现了一些诡异的请求

    结果挖出来某脚本夹了私货……

    至此之后对于引用外部资源的脚本,我使用起来都格外注意
    回复

    使用道具 举报

    12
    返回列表 发新帖

    发表回复

    本版积分规则

    快速回复 返回顶部 返回列表