关注我们

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

LzersLzers 安全文摘 2018-05-21 621346 0
最近的某顺风车命案,把网约车平台推上了风口浪尖,也将隐私信息管理、审查的讨论面进一步扩大。这让我不禁联想起自己今年春节的遭遇,当时公司放假准备回家过年,我妈给我推荐了一个在我们那十八线小城当时正搞活动的网约车平台,从市火车站到县里原本100+的车费,平台新用户只需1元。是个没听过的平台本有点不放心,不过抱着尝试新鲜事物(穷)的心态还是下载注册了试试,但出于一个伪“黑客”的装逼需求,注册用的是other people实名认证的手机小号,登陆之后提示由于监管部门要求,得先进行身份证实名认证,没问题,当然还是用别人的...至于别人身份信息。。是我随机猜出来的:


XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

然后...emm..就开始每天不断能在xss平台收到邮件提醒:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

   后面3月份断了,我出于好奇又插了一遍...发现。。他们把后台地址换了,就是上方http://newapi.xxx.com/那个。。可是漏洞仍然未修复。。(他们是不是以为改了地址后台就不泄露了..)好吧,这种被忽略的事也不是一两次了。。我也懒得管了..就这样看着每天差不多时间弹出来的信封都快变成我的习惯了。。。

直到最近某滴顺风车事件引发广泛关注,又想起这件事,我开始思考,隐私保护真的只是存储数据层面的安全问题吗?为啥司机会知道我身份证是17岁,即使我长得像郭德纲?普通企业业务是否真有存储隐私数据的必要?存储的隐私数据是否被安全保管了?望着那不断弹出又无法直接利用的cookie信封,阿釉不禁陷入了沉思...
------------------------------好吧,淡扯完了来水点..额..分享点技术过程吧-----------------------------------

1. 伪造一个和对方后台登陆界面一样的网页。
2. 在对方后台插入一段JS代码,作用为“延迟3秒后弹出’网络连接超时,请重新登陆’的弹框,接着JS自动创建一个action地址为我们钓鱼页的iframe,覆盖原网页”
3. 对方在钓鱼页面输入账户密码,点击登陆,账户数据传送到我XSS平台接收,接着页面跳转回他本身的后台主页,由于他的cookie并未改变,整个过程看起来很平顺,并且由于动态加载的iframe,虽然是钓鱼页,但浏览器地址栏能看到的地址还是他的后台地址,极具欺骗性。

以上3部关键代码其实就两段Javascript:

一、“弹框、创建iframe显示钓鱼页覆盖原网页”
二、“钓鱼页提交按钮的点击事件设置为提交结果到XSS平台”。

为了通用性和针对不同目标的修改方便,我把这两段写好的代码创建为了XSS平台的项目

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

然后伪造一个样式一样的后台(我偷了懒,删除了些样式不过不影响):

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

第二天早上我得到收到信:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

筛选了一下,已实名的用户在1W2左右:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考


XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

现在再回过头来看,是不是细思极恐?我就打个车回家而已,你平台为啥要告诉司机我认证身份证是17岁?司机才有底气对着“郭德纲”的脸说出你一看就是17、8这样的话。
隐私安全真的只是数据存储层面的安全吗?我看未必,退一万步说,什么是隐私?司机未见到乘客之前,连性别都应该是隐私,你只需要知道有位乘客在某处等你接车就行了,而不必告诉司机这位乘客是个年轻的独身女性。公民在享受服务的同时提供个人隐私信息以方便监管,可是这些信息由有没有被有效的守护呢,这是个问号。对数据层面的隐私保护固然重要,但不应该局限在数据层面,适时、适当的信息流动或许对普通人来说意义更大。
最后,还是那句话,对于大多数网上冲浪的人人而言,你其实就是在“裸奔”,望大家还是尽量提高安全意识吧,毕竟,像我这么正直的人,真的不多了。


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0评论已闭