广告公司追踪用户cookie/收集用户隐私以及防御方法

不法公司追踪用户cookie/收集用户隐私用于盈利目的以及防御方法 昨天的315晚会曝光了不法广告公司非法收集用户COOKIE数据用于盈利目的,当时看得那叫一个蛋疼啊,f**k!!
这帮狗日的公司为了RMB不惜触犯道德以及法律的底线用于这些龌龊目的,f**k!!!
先说说啥是cookie以及作用:”
Cookie(复数形态Cookies),中文名称为小型文本文件或小甜饼[1],指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。定义于RFC2109。
简单的说就是比如你注册了一个网站的用户,然后网站说 您已登录 就是靠cookie

理论上cookie只能是本域的访问,可是为什么第三方广告公司会知道呢?这就是利用XSS(跨站脚本攻击)
举个例子..

1

这时候Cookie 作用域是192.168.1.105
再用http://127.0.0.1/safe121_test.php
是未登录状态
但假设我们插入个外站Javascript呢?
(What’s Javascript:JavaScript,也称ECMAScript[4],是一种广泛用于客户端网页开发的脚本语言,最早是在HTML上使用的,用来给HTML网页添加动态功能,然而现在JavaScript也可被用于网络服务器,如Node.js。)
现在的广告平台基本都是由JS调用的
2

我们也来用JS调用一个
3

跨域AD
4

(个人JS水平不太好,简单写了一个实现大概的意思就行了)
该JS地址:http://127.0.0.1/ad.php
调用页面地址:http://192.168.1.105/safe121_test.php
浏览器处理这类JS的时候会默认将本域COOKIE传递出去,类似“XSS盲打”
而我们就可以接受到COOKIES了
/js.php?rec=1&PHPSESSID=5od2u8evasi84m2p84p39gq3q0
然后在127.0.0.1域中修改COOKIE为这个
没改之前
5

改后
6
跟192.168.1.105登录的身份一样
各大广告公司利用这个方法不仅可以直接进入用户网站帐号(部分网站有HttpOnly的除外),甚至可以进入网站管理员用户…有些站长投放广告的时候还不知道,非常严重的安全隐患…….
甚至还可以追踪用户访问哪些网站(前提是这些网站都挂了这些广告代码…)
部分广告公司甚至宣称几个亿的COOKIE(没开玩笑,中国这么多网站的挂了这个cookie代码,那么多用户量,甚至完全还不止….)
这些Cookie一旦被公布后果不堪设想,至少要比CSDN那次泄漏还要猛烈
这个已经影响到了 私人帐号例如 email等….
对网站站长的建议:
对网站所有的Cookie进行HttpOnly设置
严重提醒:不是迫不得已不要投放FLASH广告,因为FLASH COOKIE 比常规COOKIE更难清理..
对用户的建议:
1.将这些不良广告商的投放地址加入hosts屏蔽
2.设置FlashCookie权限
HOW TO?
访问:http://www.macromedia.com/support/documentation/cn/flashplayer/help/settings_manager07.html
78

允许存储的内容:None



无觅相关文章插件,快速提升流量

About webmaster

博主目前为学生,业余时间专注于分享互联网潮流资讯,前沿WEB技术,渗透技术,APT,XSS,RFID,SDR,GSM,RF等技术.此前对前端渗透有较深建树,建博旨在记录与发表前沿技术.感谢大家关注...

分享到:
No Response
Comment (0)
Trackback (0)
Leave a Reply

昵称*

邮箱*

网址

0

贴入百度统计、CNZZ、51啦、量子统计代码等等