Đánh cắp thông tin bằng WebSocket
(medium.com)- Mở rộng thêm dựa trên câu chuyện quét cổng của eBay
-
Viết mã trên trang web A để quét các cổng từ 2000 đến 10000, kết nối rồi ghi lại
-
Trong khi vẫn đang kết nối với A, nếu truy cập trang khác là B và B sử dụng WebSocket, thì A có thể chụp lại nội dung đó
-
Nếu B sử dụng webpack-dev của React, thì nhiều loại thông tin khác nhau giữa các socket có thể bị lộ ra
-
Nếu mã của trang B có lỗi, thì thông qua thông tin gỡ lỗi, A có thể xem vị trí mã hoặc các thông tin khác
2 bình luận
Nghe nói vì vậy mà Tor chặn hẳn quyền truy cập tới localhost. Có lẽ đã đến lúc, vì quyền riêng tư, chuyển quyền cho websocket truy cập localhost sang kiểu cho phép theo sự đồng ý, giống như camera.
Tại sao trang web lại quét cổng của tôi? https://vi.news.hada.io/topic?id=2126