咋看脚本会不会窃取隐私啊

李恒道

极品小猫 发表于 2022-5-5 08:47
给gg补充一个
高级一点的，可以把恶意代码嵌入到图片里去执行。

在img上写带有隐私内容的src？类似jsonp一样传出去吗
这样确实也可能...
话说哥哥为啥这么喜欢猫猫

极品小猫

李恒道 发表于 2022-5-5 10:45
在img上写带有隐私内容的src？类似jsonp一样传出去吗
这样确实也可能...
话说哥哥为啥这么喜欢猫猫 ...

嗯~你可以这么理解~用猫图当头像的，都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~



就是当这个图片被访问的时候，通过一些特殊的操作，使图片里嵌入的代码可以执行各类窃取隐私数据操作，包括Cookie，当时在GF论坛上讨论还是挺热烈的，不过现在我已经找不到这个帖子。

大概流程就是，加载一张图片，通过图片内嵌的代码加载一个JS文件（重点来了，基于安全角度，正常情况下除非有漏洞，否则浏览器是做不到这些的，但是这里有脚本的加持）。
有了脚本提供的环境，这些操作完美的避免了源码审查的问题，隐匿性高，而且动态可更新。

李恒道

极品小猫 发表于 2022-5-5 13:40
嗯~你可以这么理解~用猫图当头像的，都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~

因为觉得很有意思
我还设置了很多乱七八糟的关键词替换
如果论坛出现两个人对骂很有可能出现乱七八糟互喷自己的情况
比如 吃shi去吧，吃螺蛳粉去吧

脚本体验师001

极品小猫 发表于 2022-5-5 13:40
嗯~你可以这么理解~用猫图当头像的，都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~

你老婆从下面端来一碗螺狮粉，你很高兴，并津津有味的吃完了这碗螺狮粉。抹了抹嘴边的螺狮粉，打了个饱嗝说：这螺狮粉真香！
没啥毛病呀

极品小猫

脚本体验师001 发表于 2022-5-5 15:10
你老婆从下面端来一碗螺狮粉，你很高兴，并津津有味的吃完了这碗螺狮粉。抹了抹嘴边的螺狮粉，打了个饱嗝 ...

但是我觉得你这人似乎有点毛病

脚本体验师001

极品小猫 发表于 2022-5-6 13:44
但是我觉得你这人似乎有点毛病

嘿嘿，哪里有毛病，说一下呗

王一之

极品小猫 发表于 2022-5-5 13:40
嗯~你可以这么理解~用猫图当头像的，都是当过铲螺蛳粉官或者相当铲螺蛳粉官的人
这个ID用了十多年了~

为了论坛友善，替换了一些关键字，具体哪些我也忘记了 哈哈

这种方式确实很难排查，只能通过浏览器的开发者工具，network，勾选第三方请求去一个一个看了，也还好

极品小猫

王一之 发表于 2022-5-12 09:32
为了论坛友善，替换了一些关键字，具体哪些我也忘记了 哈哈

这种方式确实很难排查，只能通过浏览器的开 ...

是的，那时候一些脚本使用之后会出现广告，那人就想看看什么原因造成的

查 network 发现了一些诡异的请求

结果挖出来某脚本夹了私货……

至此之后对于引用外部资源的脚本，我使用起来都格外注意