哈哈 潘长江 怼微博,直指广告僵尸
- fyi151还玩微博呢
- Macd10新浪这恶心也不是一天两天了,今经常偷偷摸摸给你加营销号!
- cuqk其实不是微博官方给你关注乱七八糟的账号,而且你登录后的token或者cookies被运营商拦截了,然后可以做的事就太多了
- 拉风的汉子关注的微博不按时间轴排序、两条微博之间夹带广告、评论里夹带广告、一些自媒体营销号…真心不如看头条 iOS fly ~
- gamma那是谁干的?难道我的微博被人黑了? iOS fly ~
- Macd10愿闻其详!
- zhanghe这么说Twitter也不安全?
- cuqk其实大部分的网络服务都不安全,你要连接服务器,就需要带上token让服务器知道你的身份,特别是现在广泛应用的OAuth2协议,那中间环节就有获得这个token的可能性。
- zhanghehttps能解决这个问题吗?
- linkwood回复4#cuqk
现在都是https的 怎么可能拦截 - 都市乖乖宝我能说很多年以前我就预见过会有这么一天吗。
有一些人自身就是那个情况,所以不免要遭喷。而人都是一样的,无论什么原因挨怼到一定程度必然会反击。 - cuqk
- ljq29
- happyd8699貌似广告是唯一能变现的东西 iOS fly ~
- 白面书生想法不错啊,广告做到明星那里去
你说他们拍戏需要手机厚电这种吗 - nabc一直只用网页版
总是发现渣浪 偷偷给我关注人 - 懒散的牛很久不登录的微博账号被谁拦截的呢? ios fly~
- cuqk没太明白你所说的“地址是加密的”,是什么意识,特别是这个“地址”指的是什么
- bjliang2009必须需要,快去吧
- ljq29
- sis5595那个来去之间,整天就知道到处蹭热点,要么就是装无辜,正事从来不干
- seawall错字病句标点符号看得真难受 iOS fly ~
- 费小弟营销号无孔不入,我不信微博没关系 推推送送
- 许较瘦回复22#ljq29
他就是随口一说,真有证据运营商干能干这个事,爆炸性只比之前的垃圾短信的威力更大 iOS fly ~ - cuqk如果你指运营商拿到的https请求的url参数是加密后的,那你可以在电脑上用Fiddler抓包,然后访问https网站,看抓取到的是否为加密后无法识别的url。
如果你指的是页面js会对url参数加密后再访问服务器,那既然js能对url参数加密,加密方法就应该是在js文件中,要逆向加密算法也就没什么技术问题了。
https的本意是让通过post请求(非get)请求的请求体内容(非url参数)加密传输,让中间环节即使获取也无法解密,但之前已经前新闻,论坛里也有帖子,中间运营商通过强制替换https证书的方式,解密https,从而截取内容。
另,OAuth2协议的方式就是把access token附加在url中作为url参数。
所以我是认真的,不是开玩笑。 - ljq29回复27#cuqk
fiddler不导入证书到系统的话不可能抓到url iOS fly ~ - Rorysky回复27#cuqk
非对称加密了解一下... iOS fly ~ - Rorysky回复27#cuqk
中间人攻击需要在本机安装证书 iOS fly ~ - cuqk我都说了这么些细节的东西,非泛泛而谈,你怎么还会觉得我不了解https使用了非对称加密呢。
Fiddler不导入证书,可以抓,但没法解开其中请求包体的内容,所以运营商才会使用强制替换https证书的方式,这时候证书都是运营商的证书,非服务提供商的证书
不管解不解开包体内容,URL参数都是明文,页面发起的请求参数是怎么样的,中间抓取环节都能完整明文看到。
所以获取token对于运营商而言真不是什么难度。
真要再提升安全级别,APP和服务器通过自定义的协议交互,但在网页版是不能指望这种功能了。 - aaa333ddd1. 我记得oauth2的token是放在后台的吧,只有code是放在url里的,而code是一次性的。
2.fiddler抓包要信任证书HiPDA·NG - cuqk回复32#aaa333ddd
OAuth2的内容,可以看看这篇文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html请求到令牌(access token)后,令牌不是一次性的,后续的交互都需要使用令牌。
Fiddler抓包,可以看看我上面一个回复 - Rorysky回复31#cuqk
除非中间人攻击 https 怎么破解你告诉我?
运营商惯常用的 是 劫持 http 和 dns污染,弹小广告啥的。
中间人攻击必须要你浏览器里有运营商掌握的证书,不然怎么攻击?
这类证书一般采用垃圾软件的形式附带分发
iOS fly ~ - Rorysky
- cuqk上面的回复已经说了,运营商替换https请求的证书,这就已经是中间人攻击了。如果你非要问我再具体的细节,问我运营商是怎么做到,那我也确实不知道。
真的,你先看看OAuth2协议吧。
我们的讨论就此结束吧 - ichido我也遇到这个问题,取消关注也好,拉黑也好,反正大家说的招式都用了一遍,完全没有,我只好删掉app不用了。没想到大明星也会受这个影响。 眉头仍布满密云
- mijuuoauth2 是三方认证,url里只有一次性临时code
token是在payload或者https only cookie里的
post请求需要csrf
证书级操作需要在双端本机完成
这些都是基本的安全措施,这都能随意攻破,互联网账号早就满天飞了 - cuqkURL中的access_token是临时的,但非一次性的,所以才会有access_token过期及重新获取access_token的概念和操作。
关于这个https破解劫持和OAuth的讨论,不继续了。 - Rorysky回复38#mijuu
支持兄弟 打脸,真的楼上不太了解大家讨论下,搞得就他一个人懂似得... iOS fly ~ - cuqk我回看了我在这个帖子里的所有回复,从第一个回复开始,我回复的内容都是把要表达的内容直观直接地说了出来,而没有故弄玄虚说一半不说一半。
且我认为我的所有回复是礼貌的。
如果讨论的结果确实是我的知识点是错误的,我也会更新我的知识点。
但你从一开始就带不太客气的回复,且反复说“你是开玩笑的吧”这类话语,现在又抱团要打脸,是因为自己的知识量不足,看到一个能说出一个123的指出我的知识有错误的回复,所以特别亲切么?
讨论而已,没必要非要得出个输赢。 - mijuuaccess token是双服务端操作,这要内鬼才能拿到。
- 178286951还不能取消。最恶心就是这个,所以微博没落得很快,普通用户流失巨大。 iOS fly ~
- cuqk不太了解你所说的双服务端 操作是什么概念。
客户端向服务端请求到了access_token后,后续的数据请求,都需要加上access_token。运营商在中间拦截获取获取了这个access_token,就能伪造客户端的身份。这跟服务端的内鬼并无关系 - mijuu如果你客户端使用到了access token ,那说明你oauth2 使用方法错了,这东西不是给客户端用的,请使用你们自己的token 来完成用户验证
- 19x0d版不少人心态不对
喜欢b乎那套不少 - Rorysky回复41#cuqk
抱歉最近脾气有点爆 iOS fly ~ - shifeng9800蔡徐坤粉丝干的 iOS fly ~
- cuqk虽然你道歉了但我还是认为我的技术观点是正确的哈哈哈哈