公开发布我的网络历史记录会使哪些攻击成为可能?

信息安全 网页浏览器 网址
2021-08-22 04:53:57

假设我的互联网历史是公开的(意外或故意)。自访问以来,此版本已超过 24 小时。

另外,假设那里没有令人尴尬的网站:没有任何勒索的可能性。

(我上周访问的最尴尬的页面实际上是我的小马驹的电视比喻页面,对此我有正当理由和证人)。

这允许哪些潜在的攻击?我有点担心看到大量链接,例如:

hxxps://kdp.amazon.com/en_US/ap-post-redirect openid.assoc_handle = amzn_dtp&aToken = AtzA的%7CIwEBIO9mWoekr9KzK7rH_Db0gp93sewMCe6UcFPm_MbUhq-jp1m7kF-x0erh6NbjdLX3bm8Gfo3h7yU1nBYHOWso0LiOyUMLgLIDCEMGKGZBqv1EMyT6-EDajBYsH21sek92r5aH6Ahy9POCGEplpeKBVrAiU-vl3uIfOAHihKnB5r2yXPytFCITXM70wB5HBT-MIX3F1Y2G4WfWA-EgIfZY8bLdLangmgVq8hE61eDIFRzcSDtAf0Sz7_zxm1Ix8lV8XFBS8GSML9YSwZ1Gq6nSt9pG7hTZoGQns9nzKLk7WpAWE8RazDLKxVJD-nDsQ9VdBJe7JZJtD7c77swkYneOZ5HXgeGFkGhKsMnP7GSYndXhC_PqzY251iDt0X7e5TWvh86WZA0tG2qZ_lyIagZtB3iw&openid.claimed_id = HTTPS%3A%2F% 2Fwww.amazon.com%2Fap%2Fid%2Famzn1.account.AEK7TIVVPUJDAK3JIFQIQ77WZWDQ&openid.identity=https%3A%2F%2Fwww.amazon.com%2Fap%2Fid%2Famzn1.account.AEK7TIVVPUJDAK3JIFQIQ77WZWDQ&openid.mode=id_res&openid.ns=http% 2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.op_endpoint=https%3A%2F%2Fwww.amazon。com%2Fap%2Fsignin&openid.response_nonce=2018-12-11T13%3A46%3A52Z4004222742336216632&openid.return_to=https%3A%2F%2Fkdp.amazon.com%2Fap-post-redirect&openid.signed=assoc_handle%2CaToken%2Cclaimed_id%2Cident 2Cns%2Cop_endpoint%2Cresponse_nonce%2Creturn_to%2CsiteState%2Cns.pape%2Cpape.auth_policies%2Cpape.auth_time%2Csigned&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape。 auth_policies=http%3A%2F%2Fschemas.openid.net%2Fpape%2Fpolicies%2F2007%2F06%2Fnone&openid.pape.auth_time=2018-12-11T13%3A46%3A52Z&openid.sig=5cx5iHjeLyWTTA9iJ%2BucszunqanOw36djKuNF6 clientContext%3D135-4119325-2722413%2CsourceUrl%3Dhttps%253A%252F%252Fkdp.amazon。com%252Fbookshelf%253Flanguage%253Den_US%2Csignature%3DgqJ53erzurnmO1SPLDK1gLwh9%2FUP6rGUwGF2uZUAAAABAAAAAFwPv8dyYXcAAAAAAsF6s-obfie4v1Ep9rqj

在我的历史中并担心安全信息可能会在某个地方的 URL 中传递。

我知道这使冒充我的身份变得更容易,而且我最感兴趣的是通过 URL 本身泄露信息。

我有一个普遍的兴趣,但这是由我正在运行的一个测试项目推动的。

4个回答

您的问题可能比您意识到的更不确定。可以使用 URL 参数传递任何类型的数据。用户名、密码、身份验证令牌、设置、表单数据或 Web 开发人员选择的任何内容。为此使用 URL 参数并不总是好的做法,但总是可以的

至于可能暴露的内容和时间,完全取决于每个单独页面(不仅仅是站点)上的每个 Web 开发人员。因此,您可能无法预测可能暴露的内容。

因此,要回答您的问题,在最坏的情况下,您可能会经历包括凭据在内的任何数量的个人数据的完整和彻底披露。

应要求,我对“URL参数中的密码”的做法进行了搜索,并将结果限制在今年。这是热门歌曲之一:

https://answers.splunk.com/answers/622600/how-to-pass-username-and-password-as-a-parameter-v.html

这是 2018 年 2 月的一个论坛,来自一家大型上市公司,讨论如何做到这一点。

以下是OWASP关于此漏洞的官方页面:

使用 HTTP 或 HTTPS 时,“user”、“authz_token”和“expire”的参数值将在以下位置公开:

Referer
标头
Web 日志
共享系统
浏览器历史
浏览器缓存
肩部冲浪

实际上有点:

  • 基于内容的勒索
  • 不公开的地图系统
  • 某些请求中的敏感参数
  • 个人信息

敲诈勒索

对你的搜索可能会令人尴尬并且断章取义。例如,WebMD 搜索您不想让同事知道的医疗状况。最好在您忘记的隐身模式下进行的搜索。

不公开的地图系统

你的工作内部网站点或那个生产门户网站怎么样,这些名字现在会出现在你的历史中,如果它像 Jenkins 一样 - 那是 DNS 重新绑定攻击的一个很好的候选者。

某些请求中的敏感参数

如果您访问的网站只是在 Internet 上出现错误,并且参数包含 API 密钥、密码、凭据或只是一个帐户 ID,这些都被捕获并可以立即使用。

个人信息

我看到你已经在 3 月份寻找假期 2 周了——那将是闯入你家或冒充你的好时机。寻找一个听起来像值得偷的订婚戒指。你做了一个从你的地址到另一个位置的谷歌地图?

我想提到的尚未命名的威胁之一是去匿名化。

您历史记录中的 URI 可能会泄漏有关您在不同网站上的用户帐户的信息 - 例如,如果您经常检查自己在社交媒体网站上的个人资料。如果您以匿名方式使用某些网络服务,而以您的真实姓名(Facebook、Twitter)使用其他网络服务,则对手可以很容易地对您进行去匿名化和攻击如果您匿名出现在平台上并希望它保持这种状态(约会平台、文件共享平台、言论自由平台),那对您来说尤其糟糕。

互联网上的数据也有长期存在的趋势,因此这种威胁非常持久。

我会试试这个……请记住,“所有可能的”和“有针对性的攻击”之间是有区别的。考虑到这一点,我将攻击类型分为至少两类:网络和行为。它们可以相互衍生,但本质上是不同的。

对有权访问您的 URL 的人的网络威胁:

  • HTTP POST/GET 变量——如果特定网站的安全标准很差,比如在可逆或明文方法中包含敏感的个人身份信息或机密(密码),这可能是最明显的——但正如我在@schroeder 的回答评论中所说,您必须评估每个 URL,因为https://someco.com/sub1/?var1=something;var2=somethingelse可能是安全编写的,但http://someco.com/sub2/var1=something;var2= secrets这是因为大多数大型网络存在都有一小部分网络开发人员在他们的前端、后端以及介于两者之间的所有内容上工作。如果每个组织都缺乏标准(我们最终用户永远不知道),页面的一部分可能比其他部分更糟糕。

  • 虽然会话数据也有有趣的信息,但不能仅从 URL 中收集到。因此,虽然主机妥协场景很有趣,但它不适用于此处,这就是我在原始评论中询问问题范围的原因。

对有权访问您的 URL 的人的网络+行为威胁

  • 个人弱点:您经常访问的网站表明社交模式:喜欢/不喜欢、政治、健康、财富等。例如:如果攻击者瞄准您进行剥削并且知道您正在访问债务合并网站,他们可能会为您提供财务帮助回报的好处。如果您经常访问 ashleymadison.com 并且您已婚,他们可能会敲诈您,以免您向配偶出柜。我并不是说这是冒犯性的,但假设你是不可敲诈的,那就太天真了。在鱼叉捕鱼的情况下,此信息还可以让攻击者迎合您的攻击。例如,如果攻击者知道您访问了 fidelity.com、yahoo.com、bankofamerica.com,则从这些域之一接收欺骗性电子邮件可能会在打开电子邮件->附件时产生更好的结果,

  • 个人习惯:如果您是习惯性动物(大多数人都是),随着时间的推移,他们可以看到您一天中连接到互联网的时间,并可能从什么设备和什么位置看到. 如果攻击者以您的房子为目标,他们可以推断出您何时工作、何时在家,以及预测您明天或后天在哪里的信心水平有多不稳定。

其它你可能感兴趣的问题
上一篇新的 Gmail 登录系统——违背传统观念? 下一篇当 IP 地址经常变化时,为什么人们会使用 IP 地址禁令?