对一张图片分析:其二
表格中能看到「%3F」「%2C」,这是 百分号编码,属于为 URL 设计的转义字符,所以判断这些内容是源自搜索引擎是很合理的。
但被暗访的经理还提到用户「哪里浏览、搜索过这个关键词(而来)」这样的细节。
用户从 A 搜索引擎点击 B 网页打开,B 网页竟然能知道 A 搜索引擎的 URL?在以前确实会这样,这是因为 HTTP referer 请求头技术的问题。
比如用户在手机使用搜索引擎搜索「松木桌子」,然后打开上面的一个含有恶意采集电话号码脚本,以及服务器能保存 referer 请求头的内容的网页,那么攻击者就能做出与标题图相同的表格,而这仅靠一个网站就能做到,只是它利用了各种漏洞、机制。
好在 referer 的风险,已经被基本修复,现在浏览器通常不会发送参数,只会发送域名。
附言 1:referer 是防盗链的原理,所以修复防盗链的油猴脚本,只需要修改 referer,比如 Greasy Fork 上的 反图片防盗链。
附言 2:如果认为 referer 发送域名,仍然泄漏了重要信息,也有一些浏览器插件能完全移除 referer,比如 Chameleon(Firefox)插件。但是移除 referer 后,可能会让浏览器指纹更加明显,需要自己权衡。
附言 3:一些网站点击外链后,会先跳转到专用的「跳转页」,这种安全策略有多种优缺点,其中就有应对 referer 泄漏的优点。(OWASP Cheat Sheet Series)
赛博空间生存指南(草稿)
表格中能看到「%3F」「%2C」,这是 百分号编码,属于为 URL 设计的转义字符,所以判断这些内容是源自搜索引擎是很合理的。
但被暗访的经理还提到用户「哪里浏览、搜索过这个关键词(而来)」这样的细节。
用户从 A 搜索引擎点击 B 网页打开,B 网页竟然能知道 A 搜索引擎的 URL?在以前确实会这样,这是因为 HTTP referer 请求头技术的问题。
比如用户在手机使用搜索引擎搜索「松木桌子」,然后打开上面的一个含有恶意采集电话号码脚本,以及服务器能保存 referer 请求头的内容的网页,那么攻击者就能做出与标题图相同的表格,而这仅靠一个网站就能做到,只是它利用了各种漏洞、机制。
好在 referer 的风险,已经被基本修复,现在浏览器通常不会发送参数,只会发送域名。
附言 1:referer 是防盗链的原理,所以修复防盗链的油猴脚本,只需要修改 referer,比如 Greasy Fork 上的 反图片防盗链。
附言 2:如果认为 referer 发送域名,仍然泄漏了重要信息,也有一些浏览器插件能完全移除 referer,比如 Chameleon(Firefox)插件。但是移除 referer 后,可能会让浏览器指纹更加明显,需要自己权衡。
附言 3:一些网站点击外链后,会先跳转到专用的「跳转页」,这种安全策略有多种优缺点,其中就有应对 referer 泄漏的优点。(OWASP Cheat Sheet Series)
赛博空间生存指南(草稿)