XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

Posted Le想安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考相关的知识,希望对你有一定的参考价值。

最近的某顺风车命案,把网约车平台推上了风口浪尖,也将隐私信息管理、审查的讨论面进一步扩大。这让我不禁联想起自己今年春节的遭遇,当时公司放假准备回家过年,我妈给我推荐了一个在我们那十八线小城当时正搞活动的网约车平台,从市火车站到县里原本100+的车费,平台新用户只需1元。是个没听过的平台本有点不放心,不过抱着尝试新鲜事物(穷)的心态还是下载注册了试试,但出于一个伪“黑客”的装逼需求,注册用的是other people实名认证的手机小号,登陆之后提示由于监管部门要求,得先进行身份证实名认证,没问题,当然还是用别人的…至于别人身份信息。。是我随机猜出来的:

看到这里你肯定心里在想,这傻X到底想说什么。别急,以上是背景介绍,问题就出在这。

当时我付款预约了除夕当天来高铁站接我的车。等到当天司机来接我上车之后,第一句打招呼的客套话话竟然是:“看你样子是在外地读高中吗?”。我差点没笑出来,我说你看我这样子像是还在读高中吗,大学都毕业好几年了..司机:“呵呵,看起来也就十七八吧”,语气是略带不屑,仿佛我在说谎一样。要知道,兄弟我差不多是长这样:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

(图来自知乎某V爆照,侵删,反正我俩长差不多)

这尼玛你能看出17、8?我怕是笑岔了气。但当时立马一惊(我用来实名认证的身份证恰好是17岁),我们后来没有交流,不过我严重怀疑平台把乘客隐私身份信息共享给了司机。

到达目的地后,出于一个”白帽子的尊严”在APP评价处随手插入了一段我自己XSS平台的盲打cookie代码:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

然后…emm..就开始每天不断能在xss平台收到邮件提醒:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

尝试了下,cookie无法登陆进后台,应该是某个关键cookie设置了httponly。而且这域名都没,貌似只是个还在搭建的测试环境。那算了,我也懒得麻烦了,通过某个信息泄露漏洞找到了他们程序员的手机号,添加了微信。时间太久远聊天记录找不到了,我稍微还原下:

“你是XX网约车APP的技术人员吗”

”你怎么知道,你是谁”

“长话段说balabala…(把后台存在XSS漏洞和可能造成的危害大概描述了一下,具体啥是XSS让他自己去百度)”

“感谢感谢xxxx,我们会尽快修复”

报告完漏洞我就删除了他,完成装逼二连,深藏功与名。

不过好像并没有什么卵用,因为…我的XSS平台仍然每天能收到他们的COOKIE信封并且一直在持续:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

直到最近某滴顺风车事件引发广泛关注,又想起这件事,我开始思考,隐私保护真的只是存储数据层面的安全问题吗?为啥司机会知道我身份证是17岁,即使我长得像郭德纲?普通企业业务是否真有存储隐私数据的必要?存储的隐私数据是否被安全保管了?望着那不断弹出又无法直接利用的cookie信封,阿釉不禁陷入了沉思…

——————————好吧,淡扯完了来水点..额..分享点技术过程吧———————————–

   上文说到对方后台存在XSS漏洞,但关键cookie被设置了httponly无法直接利用,如果看过我之前帖子https://bbs.ichunqiu.com/thread-25726-1-1.html的表哥一定知道这种情况我们还可以通过伪造钓鱼页的方式欺骗管理员直接把后台密码”告诉”我们。不过那篇帖子里我貌似把攻击复杂化了,现在我换个简便些的思路:

1. 伪造一个和对方后台登陆界面一样的网页。

以上3部关键代码其实就两段javascript

一、“弹框、创建iframe显示钓鱼页覆盖原网页”

二、“钓鱼页提交按钮的点击事件设置为提交结果到XSS平台”。

为了通用性和针对不同目标的修改方便,我把这两段写好的代码创建为了我XSS平台(https://0bug.cf)的项目:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

以上项目是通用的,也就是说类似情况的站,都只需要引入XSS平台一段JS外链即可,接下来事情变得很简单,先访问一下网约车平台真正的后台:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

然后伪造一个样式一样的后台(我偷了懒,删除了些样式不过不影响):

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

篇幅关系我就不把模拟过程写上来了,在XSS平台创建一个钓鱼项目,然后将生成的外链直接按之前盲打的方式插入对方后台,对方访问后即在原URL不变的情况下,访问了我的钓鱼页:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

第二天早上我得到收到信:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

这里注意,收到信后务必要立即把项目里的JS清空,否则对方永远无法正常访问那个页面(一进那个页面就弹出要重新登陆),很容易暴露。拿着收到的账号密码登陆成功:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

筛选了一下,已实名的用户在1W2左右:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

如我所料,在司机管理页面,这些信息几乎都是对司机可见的,也就是说,司机在接你之前,已经掌握了你在该平台几乎所有的隐私信息..这只是一个小网约车平台,那么其他平台呢?

联系到这次空姐搭某滴顺风车遇害事件,本来我认为滴滴在空姐遇害这事上有点冤,一个已实名认证的司机,不要命就要犯罪,刑法都拦不住,滴滴怎么拦得住?可是我注意到一个细节,嫌犯是有备而来(带着刀),再加上我在刚渗透的这个小平台后台所见到隐私信息情况,我开始思考有没有可能悲剧其实在张振华选择接空姐这单时就已经注定?..搜索一番,果不其然:

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考

现在再回过头来看,是不是细思极恐?我就打个车回家而已,你平台为啥要告诉司机我认证身份证是17岁?司机才有底气对着“郭德纲”的脸说出你一看就是17、8这样的话。

隐私安全真的只是数据存储层面的安全吗?我看未必,退一万步说,什么是隐私?司机未见到乘客之前,连性别都应该是隐私,你只需要知道有位乘客在某处等你接车就行了,而不必告诉司机这位乘客是个年轻的独身女性。公民在享受服务的同时提供个人隐私信息以方便监管,可是这些信息由有没有被有效的守护呢,这是个问号。对数据层面的隐私保护固然重要,但不应该局限在数据层面,适时、适当的信息流动或许对普通人来说意义更大。

最后,还是那句话,对于大多数网上冲浪的人人而言,你其实就是在“裸奔”,望大家还是尽量提高安全意识吧,毕竟,像我这么正直的人,真的不多了。

注:此文来源网络搜集整理,如有侵权联系我们

以上是关于XSS钓鱼某网约车后台一探究竟,乘客隐私暴露引发思考的主要内容,如果未能解决你的问题,请参考以下文章

人体姿态估计在网约车风控系统中的应用

女神营业!云通信产品运营带你玩转号码隐私保护:网约车外卖等O2O行业的最佳实践

越“抽”越“亏”,网约车的未来在哪里?

网约车新办法,出行改革会改善现状么

科技的力量!基于A40i平台实现网约车终端方案

科技的力量!基于A40i平台实现网约车终端方案