今天主要讲到的一题就是说应该是一种比较少的一种攻击类型就是说我让你上了我的账号反而可以对你产生了一些在一些场景下对你产生了一些攻击行为之后的简单自我介绍我的网民也带不开口然后后面城市稳重这些都是我的一些保一死的性格变一死我就不写了然后我这些年主要对外办权比较熟一些然后在很多互联公司都做过从事一些新建训方面的工作然后现在在马也马也政府做系统网络安全方面总结一下说就是说因为我比较熟悉外办权所以我现在在做系统网络安全方面的工作我为什么想到这个议题是因为我曾经找过很多就是说上别人账号的漏斗这我曾经在乌云上提就这前些年嘛提下过一些漏斗基本上算是说包括了个大互联公司的各种就是说你点击我就上我的账号或者截止上你账号漏斗然后呢我总觉得说找这些漏斗上别人账号上多了出来混准是要还的虽然有一天我就良心发现我说要不要让别人也上上我的账号对吧然后然后我就喜心革命然后在我的生活中积极地经常把我的一些训雷会员给别人包括我的我老家一个朋友他喜欢上一个叫汤不热的网站我不知道大家有没有了解那上面是一些分享一些网友的图片视频的一些网站上面有很多比较好的东西然后我那个朋友他上不了他说你帮我弄然后我就帮他弄完了然后英文的他也看不懂我也帮他注册一个账号然后呢然后过了一段时间我突然有一天又打开这账号一看突然发现上面关注了好多精彩的账号对我来说我就对吧我就收获了很多快乐的业务就我什么都没干我帮我账号给别人上我反而我得到了一些好处这个东西甚至有些行列你们想可能有时候比如你们帮你的一些长辈或者朋友配一些比如Apple ID的时候苹果手机他不会用你帮他配配了你的账号可能你有一天你会发现他的很多招什么就同步到你这儿了所以你从侧面想他这个是一种对我来说作为我这个作为账号的用法我反而可能得到一些好处这就是可能也会产生一些攻击场景今天可能主要就讲一些关于账号在各种场景下受害者登陆我攻击的账号产生一些攻击吧然后所以你细想他的本质实际上我刚才说的一些都是对方知道生我这号如果对方是不知情的他可能就是说他的一些照片或者看那些东西都被我知道了所以说受害者在不知情的情况下登陆攻击者账号的话攻击者控制了账号以及控制了对这个账号内容的输入包括受害者的环境对这个账号的输入这个交互可能会对受害者行动一些攻击比如说到处登陆到处登陆评证钓鱼窃取隐私对一些分空的污染甚至污线包括一些危害者贸用他的身份这个一会后面会有例子今天主要讲这一块当然大家也会说对方也不会那么傻回登陆的账号所以说我们肯定是在用一些偏攻击的方式让他登陆我们的账号最简单的就是LOCKING THE CISTER OF THE LOAD其实我们的大部分的登陆的这个请求基本上都不会做射射防护因为国内基本上都是在用户登陆太下会根据他的讳话给他中一个射射防护或者在COOKE里面直接给一个随机数所以一般这种是不会做的然后这种不会做就是对射射防漏洞了解的话就是知道可能可以很简单就会去让他完成这个登陆就他登陆的账号甚至说有的比如使用什么短信码的话甚至可以让他来登陆你可以自己在这边先申请一个短信码如果这方面他防护不好的话你再把这个密码发到那个短信的码放上请求里让他完成登陆都是可以的然后如果LOCKING表达没有问题的话还有一种很常见的就是说其实大部分人在完成登陆的时候他其实就是在COOKE里面有一个比如Session或者是SID类似于这种的评证的COOKE然后我们如果找到一个网站有这样的一个有些网站会有这样的一些setCOOKE的接口可能他只能控制key或者控制value或者有的甚至可以全部控制有这样的如果你找到这样就可以直接给他set一个你这边登陆好的一个登陆type的COOKE直接给他让他登陆你的账号甚至还有一些前线调行都有还有一些场景关于一个叫CRLF的那种Headtold的那种LOCKING你也可以去让他在resource里面完成对他的一个setCOOKE的行为然后还有第三个就是说还有一个就是链接登陆评证这怎么说就是说有些子站他可能是从那个单点登陆从那个sso或者passport的那个业完成的单点登陆那个sso会给他传递一个token然后完成本域的这个登陆然后我们可以直接用这样的链接把我们后续到这个token直接发给他让他完成这样的登陆然后还有就是现在经常看那些阿伟马扫描你也可以自己本地模拟然后扫这个阿伟马他阿伟马登陆的一个逻辑就是我本地阿伟马然后去服务端问问这个阿伟马我也那个手机端扫描授权一直问问到授权了然后服务端会给他返回一个带着这种评证的一个链接然后他再在本域也就完成登陆然后我们可以自己本地模拟直接拿到这个链接发给对方就登陆像这些请求他都没有做一个叫类似于十四次防护的来源请求的交易你只要直接给他发基本上都可以完成我看那些例子基本上都可以直接完成登陆他一整就说如果这个网站的账号自己的登陆都没有如上的问题但他可能有一个叫第三方账号登陆比如我登陆不到你这个站比如说打个笔吧一个叫小狗站我登陆不了小狗站但这个小狗站可能他绑定了有个比如说微博登陆我可以让他先登陆的微博账号然后利用他这个第三方登陆这个交互请求可以也可以实现他登陆第三方登陆然后实现对他这个小狗站的这个登陆当然最后一种最土的方法当你一切都搞不定的时候还有一个叫社会公众学你可以比如说去他家对吧你跟他聊天装着要跟他请他吃饭然后去他家比如直接去搞他浏览器当然后面还有一些场景包括什么浏览器路由器还有一些智能的家具的一些设备都可以通过这个方式直接登一般人他使用的时候可能不会在不会注意到这些设备还会有一个叫绑进账号的这个细节如果对方登陆我们账号所以我们现在看他是有哪些场景我先大概列一下就是说你从受害者攻击者的维度攻击者其实当攻击者控制账号他可以控制的就是说我可以从这账号里面读东西以及写东西甚至说我曾经写的东西这个东西在你身上的页面甚至比如具有一个叫CFXS就是说我写的内容甚至有更大的一个弹码执行的权限这后面有为单独介绍CFXS这个漏洞基本上大家都认为是个积累的漏洞然后在受害者这一方他的一些行为跟我这个账号的交互会有各种各样的场景最后会列出来然后第一种就是我们登陆了一种一般的攻击者的网站的账号比如说他的上网行为什么叫上网行为呢就是说我用户不知不觉登陆你攻击账号比如说一个搜索引擎比如先Google出现在我一个漏洞就是说我让你不知不觉登陆我的Google账号然后你可能不知道一般人可能不会去登陆这些账号然后但他还正常他登陆了攻击者账号有他天天还正常使用去搜索他的这些搜索记录他就会被记下来然后攻击者这一方登陆账号就会看到这个人的搜索记录当然这个不是很严重但它也是一定程度上的隐私泄露包括现在很多网站的一些视频网站的一些浏览记录这些都是可以的然后反过来想如果攻击者往里面写那种比如说我控制账号我产生一些RE搜索然后我甚至就可以就是说你在用这个账号的时候你在输入框里面一输的时候AutoComplete的自动完成里面就会推荐一些我曾经我攻击者搜索的一些内容可以达到一个就变相推荐内容的一个效果吧还有就是说你可以一些行为可以产生钓鱼比如说我你可以通过邮件引导用户打开一个网站比如说我现在控制账号是一个比如类似于一个电商内网站它有一块区域是我用户可以自己写简介的但你可以把攻击者可以在上面把简介什么的写的特别像一个官方的声明然后你可能发邮件邮导用户打开了其实这时候用户打开了它也是看到的是官方合法的预然后看的内容其实因为不是它自己输入它没有感觉但其实我攻击者输入他可能以为这是一个官方出的一个通知然后就被他这个邮导继续下去做一些事情当然我就随便举个例子就是说这个内容你攻击者可以控制的时候你可以去引导用户的行为包括这个交互你可以产生一些钓鱼啊扎片类的攻击然后还有一种就是在用户登陆我账号以后它不知情的情况下使用它可能会有些输入的场景比如说我记得以前Paypal好像有过这样的案例就是说用户登陆了攻击者的Paypal账号然后呢他在网上支付的时候可能要咱停凶卡卡号他不知道当前这登陆卡号是攻击者他以为的自己的他就输入了这个凶卡卡号可能这个卡号已经在攻击者在攻击者自己那一端可能就会看到这个卡号或者这个账号已经拥有了这个凶卡卡号的支付权项包括我可以同样是一些钓鱼发用户给邮导说你中奖了对吧你赶紧来填一个收获地址但其实用户这时候打开我这链接的时候就已经登陆了攻击者的账号了然后他还输入了一个收获地址以为自己是中奖了其实这个收获地址攻击者也能看到这个收获地址的同类还有一些比如说隐私记事本类的什么输入日程安排类的你如果欺骗他去输入这一东西也可能会后续到对方的一些敏感信息刚才说的是我们攻击者控制的账号或者内容跟受害者本人的一些交互然后呢这些内容除了跟他本人有交互他还可能会跟一些第三方网站有交互第一种同样是说第三方网站提交攻击者的毒第三方网站这种这种案例比较少我举一个比较简单的就是说第三方网站可以理解比如说一个叫我多一个子战SSO战现在给我传递了一个就是我通过这个单点登录以后他给我传递了一个评证信息现在一般比如都是通过概的传过来在参数里面直接加这么一个TOK然后呢现在有种攻击方式就是我一个页面里面比如签一个图片我可以通过refer的方式去读取到当前这个页面的这个UR但是这个但是这个战的这个内容又不如你的控制比如博客网站用户自己才能发这些图片啊内容你又控制不了那这时候我可以说让对方登录我的账号我的账号我的内容全是我自己发的图片我可以订一些第三方域的一些图片然后呢又引导他完成的这个跟第三方的交互传辆的这个图困值我就可以通过这个图片的refer来读到这个字然后还有它就是我攻击者写被第三方使用比如说一个其他站也要引用我这个站一般现在现在还夸余引用有的一些这种GNP的形式如果对方在这种引用这个GNP的时候处理他有个XSS漏洞但是呢这个内容也也不是我们能控制的是因为是用户账号里面产生内容但我们想控制的内容怎么办同样让他登录我这个账号然后我来写这个内容可能就能完成一个对那个XSS的攻击然后还有一种这种就是还有一种跟第三方接触的就是说现在有很多网站的登录都可以绑定一个第三方账号登录这个第三方就弄了就是说同样盟用刚才那个叫比如说小狗站它可以绑定微博登录那我可以说让攻击者登录先登录微博账号然后呢我再去引导他去自动完成这个绑定过程当然这个绑定过程会需要一些漏洞来完成这个自动绑定就是说我可以让他先登录微博然后去下面会讲就是说会然后一般的那个网站绑定微博比如微博登录的请求可能是这么一个请求这个请求一般来说目前看我看了很多基本上都没有做这个CISO防护我在让那个受害者登录了我的微博账号以后我再去引导用户来点击这个请求让他防护唯一一面的这种心事然后他就会完成对这个微博账号的自动绑定其实他绑定的是我攻击者的微博账号然后对我攻击者来说我就需要登录我然后再去这个站然后使用微博账号登录就可以实现对他这个站的登录了这个可能会需要对欧奥斯的一些流程包括对那个第三方交互流程了解一点可能会明白这个要单说可能也要说很长时间大家可以简单看一下当然那个让对让受害者自动完成这个绑定微博的这个这个流程也没有那么简单就是说那是一种最差的一个一个场景很多站其实他可能在绑定的时候他会强行让你在输微博的用文密码哪怕你微博当前已经是登录台还会让你输用文密码但是呢微博那个输权也他有参数叫False Login等于True or False你可以控制他是用密码登录还是用当前的这个登录台然后有些站在刚才前面这个连接的时候他也会把这个参数放到前面这个连接里面所以你可能就直接引导用户再加这个参数也有可能其实他是要求你强行再输用文密码也可以也可以达到通通的效果然后甚至有些有些站的他的这个跟那个微博的这个False Login这个交互完成以后他的这个False Login的这个连接他这个State是没有接案的也False Login的StateFalse Login的State的函数是说是一起一个交验类似一个Self的Token就是就是说为了防止一些攻击者直接拿着绑定后的连接去让用户访问他可以有个State来交验交验就是说这个请求是从我这个原始的站方发起来是一个合法的请求的但是也有很多站是没有做这State的交验的那就甚至都不用我说我刚才用前面那个复杂流程直接给用户发一个可能这样的请求他就直接完成了对你这个微博账号的绑定然后还有些State交验交验是放在Cookie里面的它这个也特别简单同样你要主播找到这样的State Cookie的接口就可以直接去伪造它这个State一般好了Self Token我觉得应该是说你复杂生成的有一些签名机制的不如说简单的就是说我靠一个Cookie里面的一个值就来进行交验甚至有的我猜有的站的对State的存储形式是把Value放在前面State放在后面这样对用户来说都不需要找到State Cookie就用你只要能找到一个功能可以控制这个写一个值把State的这个值写到任一个Cookie里面你就可以用那个key的值来当你这个交验的这个State的值但是说的有点乱就是说就是说这种用写到的方式就会更简单对攻击来说就根本就不用找到一个State Cookie写好只要你能随便控制一个Cookie比如说我搜索记录或者是我一个什么值你只要能找到一个功能能控制这个值就开这个漏洞我之前在乌云上大概提过我当时找了站至少有一半的站有这样的漏洞然后我现在前段时间去看基本上很多的站都基本上没太修复好或者修复的还会有些问题包括这里面还有一个场景就是说其实OOS的这个绑定它State是交远了一个类似于交远了一个叫防止水测复攻击的但很多我们的使用方在前面又包了一个自己的页包了一个类似于那样的一个页如果你这个页不做你中间OOS帮你做的这些水测复防护再做也没有用所以你在这个最初始的这个请求就要做这个水测防护刚才说的是跟第三方网站交互可能产生有缘还有一个就是说其实对方登陆我的账号跟我自己使用这张号如果比如发内容它区别在哪呢就是说环境不同对方的环境跟我的环境上网环境IP啊 浏览器都是不同的我们可能可以利用对方的上网环境去做一些别的突破比如说有些以前我看到有些战案比如说它会有些优惠活动可能只登对员工的或者是针对某些IP版本的那你自己比如抢这优惠券总是抢不着你可以说让它登陆的这张号如果这个抢优惠券功能在有一些基本的像类似于达瑟夫洛东的话你就会配合让它帮你完成这个抢优惠券啊或者是一些只能对方员工或者他们在内网才能实现的一些请求然后还有就是说对到号后对溯源的干扰如果我做一个攻击者我倒了一个号然后呢我倒完后我也不敢乱使用因为对方可能会根据一些登陆之下会查出你什么的如果我想干扰对方的这个叫溯源嘛我就可以把这个账号可能同时比如说在网上一个网页里面这个攻击方式挂上去的时候让成百上千的网友都登陆过这个账号然后我也登陆这样你就混淆了这个对方的这个溯源这只是举个例子可能使用的场景不是很大也不会有人这么干然后还有一种这就是我想在网上恶意发帖我自己不想利用自己身份我可以让对方登陆的账号然后再配合一些随色物漏洞或者是一些别的漏洞可以就是让对方来完成这些发恶意帖这样来隐藏自己的身份还有一种就是我们控制的内容控制了受害者的浏览机场的内容了然后这个内容它不仅仅是跟受害者本人或者是一些网站的一些活它还可能会被一些第三方的场合因素看到比如它的女友是吧警察这怎么说呢比如打比方比如说你跟你跟你的同事同时喜欢一个另外一个女同事对吧然后你这个同事追到了然后你就很不开心很不开心然后呢你就想到这么一个方式然后呢让你的这个男同事登陆了你的账号我又我让他登陆各种各样的账号一些比如说发表的内容微博各种各样的账号然后呢这个账号都是我控制的上面都发一些乱七八糟的很很骯髒的内容然后呢我告诉这个女同事说那个你不知道你的男友一个变态是一个淫魔对吧然后不信你去她家看然后她女朋友然后再去这个男同事家为天偷偷的打开了她男友的这个浏览器突然发现她的男友在这些这样发的这些乱七八糟的内容就会基本上那个基本上我们现在如果我让你中了网页控制你在很多这样的发内容其实是没有时间去一个一个看的而且现在大部分都用手机像这种浏览器基本上可能就工作用一下然后就完了当然这也打个比方我觉得甚至是说你抢完女友以后你想做得更绝一点怕她抢回来你甚至可以诬陷的说她发了一些恶意内容去报警甚至给警察看到当然我不是只是为了取得这种场景例子我觉得正常的找女友应该通过一些公开公平公正的方式不要用这样的方式对吧有钱的靠钱有才华的靠才华没钱没才华可以像我一样靠长相也可以我知道现在已经中年发胖了这几年我也认识到这个问题了然后还有一种场景就是说登陆关联账号以前曾经有过一个邮箱吧在乌云上一个案例就是邮箱因为一个人可能在这个站有很多邮箱然后这个站就为了用户方便就说你可以同时在一个邮箱再绑定你这个站的另外一个账号就可以同时管理两个邮箱但是这个在绑定另外的账号这个登陆借口有时候如果没有做一些色色防护的话我可以让对方在不知情的情况下绑定了我的一个账号这样的话我可以就说我在登陆的账号可以看到然后还有一些站可以允许用户绑定一些第三方的账号就不是本站的账号这个两个站比如关系比较好可以说用户登陆你的绑定了在绑定另外的账号可以实现互相的登陆就有点类似于这个SSO这种单点登陆的方式同样也可以利用前面的类似刚才那个绑定的账号显示登陆如果他是要求直接输用为密码的也可以用SSO的LoginSSO的这种方式去攻击这样其实就也就达到了一个倒号的效果而且对方可能还不知道绑定了你这个账号然后我们除了这些网页端我们再往上层再想一想现在的很多浏览器它都有一个账号的功能利用于一个云浏览器而且这些账号登陆的账号它会帮你同步一些收藏夹你的访问记录甚至有的是把你一些浏览器的配置包括甚至你存的一些密码现在都有同步的然后一般浏览器登陆应该是你在外部端按理说不应该实现一个浏览器登陆但现在很多浏览器登陆为了交互的方便或者是为了兼容一些第三方现在一些浏览器登陆它也会支持一些第三方QQ微博这些授权登陆它的交互流程我看了一些有的是有问题的你可以实现伪造一些请求直接让它在浏览器里面去打开这个请求登陆然后就完成了那个浏览器登陆的效果一旦你这样控制了它的浏览器以后它的一些恶意的这些从独的角度你可以看它的一些收藏夹它的访问记录从写的角度你可以写一些恶意的插件当然这个这个漏洞的细节我就不需说我为了准备我看大概有十款浏览器里面有一两款可以实现然后其他的可能还会有更多的别的方面的漏洞可以实现这个功绩当然还有最统一种方式我就是从它这个电脑前过去登陆一下因为很多人使用浏览器不一定会绑个账号你去帮它绑了它都不一定能看出来了然后同理还有现在APP类的一些攻击场景像一些APP的能力就更强了它可以对你APP本地存储的一些比如照片一些文件进行操作可能会跟APP一些交互你如果能控制对方登陆的比如网盘类的什么机士本类的你能控制对方登陆的账号那它的一些隐私信息包括图片就可能会同步到你这边了然后攻击方式我看过有些APP现在会在打开的WebView里面你如果实现登陆的话它也会完成这个APP的一个登陆它们是共享的一个存储评证这还有一些APP可能玩了一些比如同公司的其他类产品的一些互相登陆它会有些接口有些SKAME的这些接口可以接收传递的这个品质只要你能引导通过一些WebView链接引导它打开这样的SKAME这些为协议的链接也有可能会塞给它一个品质完成你这账号的登陆然后还有类就是后台配置类有些管理后台比如说它可以配一些FTP账号或者一些Maver换存的账号那这些账号其实它的也就是输个用户密码这账号它如果这个请求做一些色色防护的话你如果又知道它的功能点比如说开源的软件你知道这样的实现的细节你可以给它发一个这样的请求它可能一个管理员它绑定了你的一个存购账号它都不一定知道它可能平时网站也正常用它都是其实用的是你的一个远程的缓存服务器但这些内容都已经被你看到了你可以读可以写然后现在还有一些路由器也实现了一些云账号的管理路由器的话如果动作账号其实攻击的话很有从独的角度来看比较有限我可以读你的上线的一些设备信息然后从写的角度可以改你的DNS改DNS这个是GTDNS这个危害比较大的可以控制然后独的这一块其实危害是不大知道一个比如说你你跟你女友配置完了一个买一个路由器你给她配置你的云账号你看她的这个每天盯着她这个叫上网中单信息其实感觉没有泄露什么东西但你要想如果有一天夜里你刚刚睡觉的时候要打开这个云账号看突然看到上面有一个上网中单比如叫什么王小刚自iPhone但你可能就会有点疑惑女女有家为什么上线了一台对吧明显是男人名字的一个iPhone就说可能这个设备名它不算意思但它在特定场景下可能会泄露了对方很重要的一个信息或者是背后的一些故事当然有些人说你这个场景都没有用我是个技术男我怎么可能会有女朋友对吧但在我们今天的案例你有女朋友同生的抢了一个女朋友过来了同样就是说你再往外围再扩散一下除了暖气你还会现在智能家居也有很多本来这些智能家居整件内容使用了但是大家还是为了生活的一些方便会让它用一些云账号会把这些信息捅不到云上比如说摄像头你如果登录这个账号你就可以远程的看对方的内容你包括现在甚至一些体中衬它都搞一个云账号让你每天来观察自己的一些体中的变化给你推一些减肥的一些训练计划什么的同样刚才那个逻辑大家想就是说你比如说给女朋友买个体中衬帮她配了你这张号然后你每天看着女友的体中很高兴对吧看她一天天的在减肥心想她为了我什么付出怕失去我天天在那减肥但你突然有一天发现上面有个体咒是比如说80公斤你想这个场景你会不会觉得挺可怕为什么在早上7点的时候有一个80公斤的一个陈正的这个行为当然这种可能攻击起来没那么简单了要么就是通过像施工的方式还有种就是它会有些在绑定账号的交互的流程可能会有些漏洞接口这块我没细看但我用过一两个我觉得是有可能会实现攻击的刚才说的那些都是用户攻击者账号一些普通内容控制一些普通内容如果我攻击者控制的账号这个往里面写入内容如果再有一些更大的权限比如说这个占渲量的时候它还有一些差色的漏洞这种没办法叫一般来说比如说一个我们就来比如说收获地址那种框子在收获地址的显示也如果有一个XSS漏洞这种XSS一般就叫SelfXSS就说你只能自己登陆以后看到这个XSS也是攻击不了别人的那我如果想攻击别人那只能说让对方登陆我的账号他们看到这个XSS但这XSS你如果偷像大家一般XSS就会偷一个Cookie或者是操作这个账号的资源那又没有意义的因为这是你的账号所以你就发给对方发给对方也没有意义那但是呢XSS它不仅仅是偷Cookie对吧只是在大家现在主流这么使用的它还可以干很多别的事比如说操作浏览器端的存储包括一些同源策略它可以攻击其他站包括它可以实现一个钓鱼的效果包括它还能偷一些跟其他欲交互传过来的一些信息一些敏感信息当然这类攻击也需要对方先登陆我们的账号然后想一下这个比较激烈的SafeXSS可以实现那些攻击SafeXSS我觉得在有些SFC估计都不收的要么DUA甚至有的都不收的但如果我这个SafeXSS让对方登陆了我的账号它可以干嘛呢比如说我让它比如a.website.com有一个让它登陆我的这个站然后呢这个站有个SafeXSS就可以往那个website.com这个域下可以中任意的Cookie如果正好有一个b.website.com这个站它有一个Cookie上的SafeXSSCookie的存储杂子这样我配合起来使用这个整个流程串起来就形成了一个b.website.com下面的一个类似一个反射性的一个夸展这是我曾经在QQ域那边找到过的概念因为它那边的Wav对于反射性夸展都防护特别好然后可能在一些存储的上面可能没有做防护然后只能用一个这么很复杂的方式来实现一个SafeXSS的攻击然后同样你这SafeXSS还可以往那个前段连接存储有LOCKSTORY这里面可以写一些东西有些站在LOCKSTORY使用上没有驱风用户就说我可以说让它登陆我的账号往LOCKSTORY写完东西以后我再推出这个账号然后用户自己登陆的时候它可能会从这存储里面可能会这一面的某些共同会显示存储的内容但这个内容是我曾经控制的也可以实现类似于一个有钓鱼甚至是一些如果它渲染在有问题的话可能实现一些SafeXSS的攻击然后还有很简单的就是有个同源测的攻击就是说我两个子站同时往耕域上我们都设置Document.domain等于根据的话我们可以是实现互相GS的操作所以我有一个A站的一个SafeXSS我其实可以可能会控制的B站的一个SafeXSS的然后就是钓鱼就是说我可能也没有刚才的那些LOCKSTORY 还是Linux我可以只是控制的内容让它不知不觉登陆我的账号比如说对方登陆我的账号SafeXSS去给它谈一个框告诉你什么密码危险请修改或者你的账号存在风险请修改新的密码然后对方它不一定这时候会去看什么右上角或者哪儿这个登陆的账号名是什么它可能就会赶紧就修改一个密码其实这时候你可能就会拖到密码同样你可以再谈出一些内容可以进行一些类似于诈骗我不知道大家没有看过有个以前有就在前三时间有部电影叫《投号玩家》那里面几个小孩就是偷了那个大BOSS的一个账号吃到它密码以后进去以后在游戏场景里修改了那个大BOSS退出类似于退出东陆后一个场景其实那个大BOSS看到场景假的不是真的就他们就像他们双方都使用了同一个账号进去然后这边是把这个它那个退出游戏的整个界面已经改了让那个大BOSS以为自己被截止了然后把那个内容我忘了反正就实现了这种诈骗的效果然后呢Self-try还可以偷一些其他预传过团练过来信息我们就哈拉这个SSO这个举例的SSO一般来说你从SSO实现单点登陆以后现在大部分也都会通过这种Gate的方式比如说你给他发一个单点登陆请求说我要登陆这个页你帮我看看是不是登陆的然后他告诉你是登陆的然后给你传一个TK的如果从SSO预传过来前提是对方你登陆什么账号了然后但是他的SSO预还是他自己本的账号一般这种子战跟SSO预这个评证分开的在这种场合如果分开的对方他的本人的账号TK的传过来了以后如果直接通过直接往你这个有XSS业这个目标他直接给你传的但你就可以很简单通过一些XSS去读那个location的方式去读如果他是通过JS有个中间业来收这个TK的然后最终再跳到你目标业跳到你这个有XSS业面但是他通过JS跳了JS跳的话你还是可以通过读取Refer方式读到前面这个从他这个Login这个中间业把这个中间业TK的这个参数给读过了你可以通过XSS或Refer方式来读然后还有种情况是是目前主流的可能做的觉得比较完善的一个方式就是说我传递过来我通过我的中间业收到TK的以后然后通过302再跳到目标业这个感觉我们这时候CyberXSS就没有一个实际来获得的这个TK的词了你不管通过读当前业因为当前业已经没有这个TK的了包括你Refer也读不到因为302跳转它传递的是前面的一个Refer不是中间这个Login的这个ReferLogin业这时候呢我在以前的一个工具里面我是这么做的我是你可以去在用当前CyberXSS你在当前读一个超长的Cookie然后在这时候再引用FM去来引导他去引导他去发起这个单点登录的请求然后他这个单点登录传给TK的到这个中间业Login业的时候他在这一步就已经是因为我们已经往这个预下读了超长Cookie大家如果知道会知道有个叫超长Cookie的拒绝服务就你Cookie太长服务端他会抱错了就是这个页面他会加载失败就他不会他就他就不会再去到我的目标页那这时候我就我们可以通过这个contain the windows.locationHIF这个变量能读到当前这个FroomULE的内容然后这种方式还有好处就是说我们偷到TK的如果有的站他做了这种TK的防重放就你TK的用完以后对方用完以后你即使用你偷过来你再用是失效的然后这种方式偷的话直接就是说他这因为他中间LoginLogin业Login业他这个TK的手外以后他是没有使用的因为他这个请求榜就已经失败了所以你这时候TK的TK的还是有效的所以说就从刚才这个案例Self Try SS这种机类的漏洞如果在配合让对方登入我的账号其实它可以是产生很多攻击场景不仅仅说对于一些什么偷Cookie或者操作字眼这种无效的攻击是没有用的然后这就是我开始放的那张图就是说你从不同的维度你从写内容到读内容到你的内容是不是有更大的这种代码执行的能力然后结合不同的场景都会产生一些不同危险不同场景下的一些攻击场景然后提这种攻击方式并不是说告诉大家怎么去做些坏事情就是说这种方式就是说告诉大家可能会有这种攻击方式它是会带来一些危害的而且这些这个攻击方式全都利用了一些很小的漏洞基本上这些漏洞可是给我我都可能没法给人家提我不能说你一个login的表达没做色色防护或者一些你的这个页面用guide传输了一些东西就是说你不好提就是都是一些很微小的漏洞但这些漏洞平时就是说肯定要修的因为它可以在很多不同的漏洞组合下它可能会对应互产生一个大的危险还有就是尽量再先敏感的功能或者是一些包括我们右上角的显示用户名那一块可能大家在有些站在显目一点就是让用户知道我在操作的时候我当前登陆的胜利是不是我自己本人的然后就包括一些色色防护包括登陆表达甚至一些刚才一些那种跟SSO跟第三方交互的这些请求包括甚至退出登陆这样的请求理论上都是要做一些色色防护的甚至是一些可能不是外报场景的什么APP端的这种就是别人给你传递过来一个比如一个评证你一定要教育来源的你如果这其实就是安全里面很重要基本就要认证的原则就是谁给你传的东西要有个基本的认证不管你是通过一些密码或者是一些我觉得密码可能都不够起码要基本的我觉得一般认证来说基本都要做一个签名的认证确认是对方发过来不是对方发的都有可能会被某些攻击场景要使用