ขโมยข้อมูลด้วย Websocket

 (medium.com)
7 คะแนน โดย xguru 2020-05-22 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • ต่อยอดจากเรื่องการสแกนพอร์ตของ eBay

  1. เขียนโค้ดบนเว็บไซต์ A เพื่อสแกนพอร์ตระหว่าง 2000~10000 จากนั้นเชื่อมต่อและบันทึกไว้

  2. เมื่อเปิด A ค้างไว้แล้วเข้าเว็บไซต์ B เพิ่มเติม ถ้า B ใช้ WebSocket ก็สามารถให้ A ดักจับเนื้อหานั้นได้

  3. หาก B ใช้ React webpack-dev ก็จะมองเห็นข้อมูลหลากหลายระหว่างซ็อกเก็ต

  4. ถ้าโค้ดของเว็บไซต์ B มีข้อผิดพลาด A อาจดูตำแหน่งโค้ดหรือข้อมูลอื่น ๆ ได้ผ่านข้อมูลดีบัก

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
ffdd270 2020-05-22

ได้ยินมาว่า Tor เลยบล็อกการเข้าถึง localhost ไปเลยทั้งหมด แบบนี้ก็น่าจะถึงเวลาค่อย ๆ เปลี่ยนสิทธิ์ที่ให้ websocket เข้าถึง localhost เพื่อความเป็นส่วนตัวให้เป็นแบบต้องอนุญาตก่อนหรือเปล่า เหมือนกับกล้องน่ะครับ
 
xguru 2020-05-22

ทำไมเว็บไซต์ถึงสแกนพอร์ตของฉัน? https://th.news.hada.io/topic?id=2126