讨论一下API劫持
经常看到有说“陌生聊天消息不要点,点了就会被盗号”类似的说法。
但目前看到最多的详细说法,其实是点开网页输了密码。
那其实说白了并不是什么漏洞,单纯是一个欺诈而已。很多年前就有仿冒网银页面、仿冒支付宝页面等等的类似手段了。
如果各位有遇到不需要你主动输密码就可以成功盗号(包括进行API劫持)的,希望可以发给我,我研究一下,满足我的好奇心
————————————————
我个人作为Web相关的开发者其实是不信的。如果单纯靠一个网页就能无声的“盗取”你的API Key有多不靠谱:
1.普及一个知识:网页识别你的登录状态,是靠一个叫Cookie的东西。它可以通过服务端设置或者客户端设置。并且在安全性上有很多保证:比如基于域名的隔离(不同域名之间的Cookie是不能共享的),比如仅限HTTP使用(这种情况下,浏览器上运行的脚本是读取不到的)。这些安全机制是靠浏览器内核保证的。
2.常见的“免登”都是由客户端向浏览器主动注入Cookie进行的,比如你在Steam客户端内打开商店、社区,比如你在手机QQ内打开腾讯自己的网站等等,都是不需要再输一遍密码的。
3.浏览器对请求也做了限制,如果A网站的服务端没有主动允许,那么任何网站都无法在它的页面上对A网站的接口进行请求。
4.因此,如果要靠一个网页就无声盗取API,制作这个网页的人至少需要有能力攻破浏览器内核。
有这个能力的,随便找个国内外做安全的公司,都是百万年薪起步的,而且合法合规零风险,还需要来盗Steam账号吗……
经常看到有说“陌生聊天消息不要点,点了就会被盗号”类似的说法。
但目前看到最多的详细说法,其实是点开网页输了密码。
那其实说白了并不是什么漏洞,单纯是一个欺诈而已。很多年前就有仿冒网银页面、仿冒支付宝页面等等的类似手段了。
如果各位有遇到不需要你主动输密码就可以成功盗号(包括进行API劫持)的,希望可以发给我,我研究一下,满足我的好奇心
————————————————
我个人作为Web相关的开发者其实是不信的。如果单纯靠一个网页就能无声的“盗取”你的API Key有多不靠谱:
1.普及一个知识:网页识别你的登录状态,是靠一个叫Cookie的东西。它可以通过服务端设置或者客户端设置。并且在安全性上有很多保证:比如基于域名的隔离(不同域名之间的Cookie是不能共享的),比如仅限HTTP使用(这种情况下,浏览器上运行的脚本是读取不到的)。这些安全机制是靠浏览器内核保证的。
2.常见的“免登”都是由客户端向浏览器主动注入Cookie进行的,比如你在Steam客户端内打开商店、社区,比如你在手机QQ内打开腾讯自己的网站等等,都是不需要再输一遍密码的。
3.浏览器对请求也做了限制,如果A网站的服务端没有主动允许,那么任何网站都无法在它的页面上对A网站的接口进行请求。
4.因此,如果要靠一个网页就无声盗取API,制作这个网页的人至少需要有能力攻破浏览器内核。
有这个能力的,随便找个国内外做安全的公司,都是百万年薪起步的,而且合法合规零风险,还需要来盗Steam账号吗……
