上次我说过,我们浏览器的主要工作就是把HTML,JavaScript,CSS等文件从服务器端取下来,然后解析、渲染,展示成美奂美伦的页面呈现给人类。
我们还替人类保护一个叫做Cookie的小东西,网站会把Cookie发送给浏览器让我们保存起来,等到访问同一个网站的时候,我们再把他发过去。
这个Cookie用来证明某个用户已经和服务器交互过,更重要的是证明已经登录过系统,不用再次登录了。
JavaScript这小子在我们这里承担了越来越重要的职责,从对DOM树的改动,到利用AJAX访问服务器端,他可以说是风光无限。
(详情参见上一篇文章《一个浏览器的自述:我是这么运行的(上)》)
可是我们都忽视了一个重要的问题:安全,这个东西差点让我们家族遭受灭顶之灾。
2、Cookie失窃
有一天,我的主人登录了"爱存不存"银行(www.icbc.com),这个银行网站给我发了一个Cookie,证明主人登录过了, 主人在“爱存不存”银行网站做了一些操作,但是忘记了退出,然后开了一个新的Tab页访问了一个叫做www.beauty.com ,我知道这个网站不怀好意,拼命地提醒主人,但是他仍然经不住网站上那些图片的诱惑,执意把这个网站打开。
我没有办法,只好下载这个不怀好意网站的HTML,JavaScript,CSS, 让我没有想到的是这里的JavaScript竟然想访问“爱存不存”银行的Cookie。
“这个Cookie是爱存不存银行给我的,不属于www.beauty.com,你为啥要访问?” 我问他。
“没事,我好奇,想看看别的网站的Cookie长什么样” 他轻松地回答。
我将信将疑地把Cookie给了他,他不知道做了什么花样,似乎是往www.beauty.com发了一个请求,然后就把Cookie还给了我。
很快我的主人就发现,他在“爱存不存”银行的私房钱不翼而飞了。
FireFox嘲笑我说:“你这个家伙啊,怎么能够把Cookie这么重要的东西随随便便地给别人呢? ‘爱存不存’银行的Cookie被黑客偷走了,那些黑客不用登录就可以冒充用户在‘爱存不存’网站做操作了。”
“啊? 有这么严重? 可他是JavaScript,照理说可以访问啊?”
“唉,你要知道,这个JavaScript和那个Cookie不是同一个网站的,怎么能访问呢。”
由于这件事,主人再我不理我了,从此开始宠幸FireFox。
3、密码失窃
FireFox也没得意很久,他也很快中了招。
这一次,主人还是忍不住去www.beauty.com看图片,FireFox这次很小心,不把任何别的网站的Cookie发给这里的JavaScript。
但这一次beauty.com改变了策略,它用iframe的方式放置了一个 *** 的登录网页到beauty.com页面中, *** 恰恰是主人最喜欢的,主人一看,不错啊,还有快捷登录方式,于是主人就输入了自己真实的用户名和密码,没想到Beauty.com的JavaScript 已经把这个 *** 登录Form的action指向了自家网站,等到主人点了登录按钮以后, 用户名和明文的密码就这样被窃取了。
反物质是什么(到底什么是反物质)虽然听起来可能像科幻小说,但反物质确实存在于我们的日常生活中。它在现代医学界被普遍使用。而且你家厨房里的香蕉也能产生反物质。(稍后会再次提到这一点。) 反物质是...
以下是咱们的fuzzer protobuf标准的片段:0day缝隙一直是作为APT安排施行进犯所依靠的技能制高点,在这儿咱们回忆下2018年下半年首要的0day缝隙和相关APT安排运用0day缝隙施行...
个人不太清楚您人肉收拾的目的是什么,但是可以肯定,如果您这样把别人的信息公开的话,轻的是侵犯人家的隐私,如果造成严重后果的话还可能是违法行为。所以说。 手机号都是实名的,找运营商内部人员买 第一步,点...
永州之野产异蛇, 黑质而白章途牛旅游网; 触草木, 尽死; 以 永州的纬度地带性野外出产一种奇异的蛇,。 永州的涡旋振荡器人争着去做(捕蛇)这件事。 有蒋无心法师1氏者, 专其利三世矣。问之,则曰...
每日要闻本文来自于微信公共号“王曦访谈”,原题目为《再访Bitpay联合创始人兼CTO Stephen Pair》。 去年年底在亚特兰大采访完Stephen以后,一直保持着联系,记得今年三月份关于比...
8月24日,被喂到70斤的3岁女孩儿“佩琪”因其父母为其拍摄的吃播视频而上了热搜,女孩儿与年纪极不匹配的超额体重引发舆论关注,广大网友纷纷质疑其父母把她当“吃播”赚钱,并指出或涉嫌虐待。其父母开设视频...