hxxps://kdp.amazon.com/en_US/ap-post-redirect openid.assoc_handle = amzn_dtp&aToken = AtzA的%7CIwEBIO9mWoekr9KzK7rH_Db0gp93sewMCe6UcFPm_MbUhq-jp1m7kF-x0erh6NbjdLX3bm8Gfo3h7yU1nBYHOWso0LiOyUMLgLIDCEMGKGZBqv1EMyT6-EDajBYsH21sek92r5aH6Ahy9POCGEplpeKBVrAiU-vl3uIfOAHihKnB5r2yXPytFCITXM70wB5HBT-MIX3F1Y2G4WfWA-EgIfZY8bLdLangmgVq8hE61eDIFRzcSDtAf0Sz7_zxm1Ix8lV8XFBS8GSML9YSwZ1Gq6nSt9pG7hTZoGQns9nzKLk7WpAWE8RazDLKxVJD-nDsQ9VdBJe7JZJtD7c77swkYneOZ5HXgeGFkGhKsMnP7GSYndXhC_PqzY251iDt0X7e5TWvh86WZA0tG2qZ_lyIagZtB3iw&openid.claimed_id = HTTPS%3A%2F% 2Fwww.amazon.com%2Fap%2Fid%2Famzn1.account.AEK7TIVVPUJDAK3JIFQIQ77WZWDQ&openid.identity = https%3A%2F%2Fwww.amazon.com%2Fap%2Fid%2Famzn1.account.AEK77ZQQOpen。 2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.op_endpoint = https%3A%2F%2Fwww.amazon.com%2Fap%2Fsignin&openid.response_nonce = 2018-12-11T13%3A46%3A52Z4004222742336216632&openid.return_to =% 2F%2Fkdp.amazon.com%2Fap-post-redirect&openid.signed = assoc_handle%2CaT oken%2Cclaimed_id%2Cidentity%2Cmode%2Cns%2Cop_endpoint%2Cresponse_nonce%2Creturn_to%2CsiteState%2Cns.pape%2Cpape.auth_policies%2Cpape.auth_time%2Csigned&openid.ns.pape = http %% Anet2ex2。 2Fpape%2F1.0&openid.pape.auth_policies = http%3A%2F%2Fschemas.openid.net%2Fpape%2Fpolicies%2F2007%2F06%2Fnone&openid.pape.auth_time = 2018-12-11T13%3A46%3A52Z&openid.sig = 5 2BucszunqanOw36djKuNF6%2FOfsM%3D&串行=&siteState = clientContext%3D135-4119325-2722413%2CsourceUrl%3Dhttps%253A%252F%252Fkdp.amazon.com%252Fbookshelf%253Flanguage%253Den_US%2Csignature%3DgqJ53erzurnmO1SPLDK1gLwh9%2FUP6rGUwGF2uZUAAAABAAAAAFwPv8dyYXcAAAAAAsF6s-obfie4v1Ep9rqj
,在我的历史中,我担心安全信息可能会在某处的URL中传递。通过URL本身泄漏信息。
我有一个总体兴趣,但这是由我正在运行的测试项目引起的。
#1 楼
您的问题可能比您意识到的要不确定。可以使用URL参数传递任何类型的数据。用户名,密码,身份验证令牌,设置,表单数据或Web开发人员选择的任何内容。为此,通常不建议使用URL参数,但这是可能的。公开哪些内容以及何时发布,完全取决于每个页面(而不是网站)上的每个Web开发人员。因此,您可能无法预测可能会暴露的内容。
因此,为回答您的问题,在最坏的情况下,您可能会完全公开地披露包括证书在内的任何数量的个人数据。
我应要求搜索了“ URL参数中的密码”的做法,并将结果限制在今年。以下是热门歌曲之一:
https://answers.splunk.com/answers/622600/how-to-pass-username-and-password-as-a-parameter-v.html
这是2018年2月的一个大型上市公司的论坛,讨论如何做到这一点。
这是此漏洞的OWASP官方页面:
'user','authz_token'和'expire'的参数值为
使用HTTP或HTTPS时在以下位置公开:
引用
标头Web日志共享的系统浏览器历史记录浏览器缓存
肩冲浪
评论
我唯一要补充的是,这个问题也更加严重,因为尽管您正确地知道可以通过URL传递任何数据,但由于通过URL传递了哪些信息以及是否以及如何传递信息,使问题更加复杂了。它的安全取决于您要访问的每个公司,此外,还取决于开发每个页面的Web程序员的标准。因此,您永远无法仅通过查看一个URL来确定没有传递任何敏感数据-您甚至无法说出来自同一站点的不同URL ...
–thepip3r
18/12/11在21:00
即使没有在查询字符串中传递密码,如果使用了会话令牌,您也最好希望开发人员将其限制为单个IP地址并限制时间有效性。
– Ben Voigt
18/12/12在4:02
@BenVoigt:限制单个IP地址是一种完全破旧的做法。在现代环境中,IP地址经常更改(移动网络,在蜂窝和wifi之间切换等),并且IPv6甚至具有故意出于隐私目的循环使用它们的功能。
–R .. GitHub停止帮助ICE
18/12/14在18:13
@BenVoigt:UX完全坏了,并教给用户一种安全反模式:在提示时重新输入密码,他们永远不要这样做。
–R .. GitHub停止帮助ICE
18/12/14在19:14
@BenVoigt:与我正在谈论的功能不同。
–R .. GitHub停止帮助ICE
18/12/15在0:49
#2 楼
实际上有点:基于内容的勒索
非公开的映射系统
某些请求中的敏感参数
个人信息
勒索
对您的搜索可能会令人尴尬且与上下文无关。例如,WebMD搜索您不想让同事知道的医疗状况。您最好以隐身模式进行的搜索。现在会在您的历史记录中弹出,如果它像Jenkins之类的东西-就是DNS重新绑定攻击的理想选择。
某些请求中的敏感参数
如果您访问一个仅在互联网上出现错误并且该参数包含可以捕获并可以立即使用的API密钥,密码,凭据或仅帐户ID的站点。
个人信息
我看到您一直在寻找2月的3月假期-这是闯入您的房屋或假扮您的好时机。寻找订婚戒指听起来不错,值得窃取。您是从您的地址到另一个位置的Google地图吗?
#3 楼
我想提及的尚未命名的威胁之一就是去匿名化。您历史记录中的URI可能会泄漏有关不同站点上用户帐户的信息-例如,如果您不断检查自己在社交媒体站点上的个人资料。如果您匿名使用某些Web服务,而使用您的真实姓名(Facebook,Twitter)使用其他服务,那么对手可以很容易地取消匿名并让您感到困惑。如果您匿名出现在平台上并希望保持这种状态(约会平台,文件共享平台,自由语音平台),那对您来说尤其是该死。
互联网上的数据也有趋势在那里待了很长时间,所以这种威胁非常持久。
评论
更不用说,几乎任何互联网用户都可能陷入一次或另一次密码泄露的情况。而且由于太多的用户重复使用密码,如果某人拥有您的其中一个密码和您访问的网站列表,那么对于他们来说,破坏您的网站之一可能很简单。
–肖恩
18/12/12在21:14
#4 楼
我会尽力做到这一点...请记住,“所有可能的攻击”和“针对性的攻击”之间存在差异。考虑到这一点,我将攻击类型至少分为两类:网络攻击和行为攻击。它们可以彼此派生,但本质上有所不同。网络威胁对访问您的URL的人的威胁:
HTTP POST / GET变量- -如果特定网站的安全标准不佳,例如以可逆或纯文本方式包含敏感的个人身份信息或秘密(密码),则这可能是最明显的-但正如我在@schroeder的答复评论中所说,您必须进行评估可以安全地编写每个网址,例如https://someco.com/sub1/?var1=something;var2=somethingelse,但http://someco.com/sub2/var1=something;var2=secrets。这是因为大多数大型Web站点都有一小部分Web开发人员在其前端,后端以及介于两者之间的所有内容进行工作。在每个组织中缺乏标准的地方(最终用户对我们来说是未知的),页面的一部分可能会比其他部分糟糕。
虽然会话数据也包含有趣的信息,但不能仅从URL中收集。因此,尽管在主机受损的情况下很有趣,但此处并不适用,这就是为什么我在原始评论中要求问题的范围。
网络+行为对有权访问您的URL的人的威胁
个人劣势:您经常访问的站点表明社会模式:喜欢/不喜欢,政治,健康,财富等。例如:如果攻击者以您为目标进行剥削并且知道您正在访问债务合并站点,则他们可能会在换回心意。如果您经常去ashleymadison.com并且已婚,他们可能会勒索您,以免您与配偶发生冲突。我并不是说这令人反感,但是假设您不可勒索就太天真了。此信息也可以使攻击者在鱼叉捕鱼的情况下为您提供攻击。例如如果攻击者知道您访问了fidelity.com,yahoo.com,bankofamerica.com,则从其中一个域接收到欺骗性电子邮件可能会在打开电子邮件->附件或单击链接而不是来自该域时产生更好的结果。 xyz.com或S0m3rand0mD0main.ru。
个人习惯:如果您是一个习惯动物(就像大多数人一样),随着时间的流逝,他们可以看到您每天连接互联网的时间,并且有可能来自什么设备和什么位置。如果攻击者将您的房屋作为目标,那么他们可以得出您何时工作,何时在家中以及信心水平预测明天或第二天的位置有多不稳定。
#5 楼
要添加有关URL中信息泄漏的帖子,请执行以下操作:具有以下内容的攻击者可能会:
1:提取您尝试使用的站点并登录以查看是否使用相同的凭据(假设攻击者已经获取了凭据)
2:该信息为创建网络钓鱼攻击提供了更高级的知识,例如:“您已被选为筛选新的MLP季[无论如何]”
3:基于站点的可能的物理跟踪“哦,他们的孩子去“小女孩日托”,因为我看到他们登录来付账单”。
更多信息取决于其中的内容。
评论
我不确定URL参数如何提供所有这些。仅URL就足够了。
– schroeder♦
18/12/11在22:54
@schroeder我没有看到该问题仅询问需要参数的信息。
–累计
18/12/11在23:15
@Accumulation的重点是参数,是的
– schroeder♦
18/12/11在23:30
提到了@schroeder参数,但问题是:“通过公开发布我的网络历史记录,可以进行哪些攻击?”请确保清楚地检查问题。谢谢。
– bashCypher
18/12/12在0:10
@bashCypher OP对站点本身(域)打折,并明确声明担心“安全信息可能在某个地方的URL中传递”和“信息通过URL本身泄漏”。这个例子显然是关于大量参数的。
– schroeder♦
18/12/12在8:06
#6 楼
对于专门针对您的专门攻击者,他们可能会识别出您经常访问的一些小型,受保护欠佳的业余网站以及您的用户名,然后闯入该网站,以期找到您在其他地方重用的密码或窃取其他敏感数据;甚至可能使用您的帐户积极创建可勒索的内容。查找不合格网站的登录信息。#7 楼
公开您的浏览历史记录意味着攻击者拥有了您的浏览器访问的URL列表。攻击者可以从复杂的URL识别以下信息:协议
子域
域
端口
Path
参数查询
片段
现在,您的隐私取决于开发人员构建网站的方式。
如果您登录进入具有以下URL的网站:
www.example.com/?login=**myusers**&password=**mypassword**
,那么攻击者就会获得该站点的凭据。可能是:
SQL注入
URL操作
目录遍历
识别盗窃
简单来说,您的隐私/风险取决于站点的安全级别。
评论
您列出的所有攻击都是针对他所访问的站点的攻击,而这些攻击都不是通过公开网址而针对他的攻击。 URL操纵可能是相关的,但我看不到sql注入或目录遍历的方式。
– AndrolGenhald
18/12/11在20:32
网站的安全性差,将自动威胁在该网站上存储了信息的用户。
– Vini7
18/12/11在20:36
绝对可以,但是无论是否公开OP的浏览器历史记录,这种威胁都存在。浏览器历史记录可能会允许以他为目标的某人在那些特定站点中查找漏洞,因为他们知道他在那里有帐户,但是我当然不会说“公开发布浏览器历史记录可实现sql注入”。
– AndrolGenhald
18/12/11在20:44
URL中有关密码的行是此答案中与问题相关的唯一部分。
– Tgr
18/12/15在8:25
#8 楼
我认为,还有另外一整层攻击可能来自他自己的安全意识和行为水平。例如,如果他重复使用密码,则他使用该密码可以访问的任何内容都可能被泄露/访问/无论如何。如果您现在不专门查看网络浏览历史记录中的内容,并且不能根据他的实际使用模式和行为对其进行上下文化,那么您就无法真正评估其暴露程度。他的问题-释放浏览历史记录可能暴露出哪些攻击-从根本上来说是错误的问题。答案与“任何信息泄露都可能造成的攻击”相同,答案是,这取决于信息的真实含义。它的Web浏览历史记录仅限制了可能公开的信息的大小,而不限制该数据的任何暗示或价值。定期做很多工作来消除未知数。在他发布网络浏览历史的项目的背景下,正确的做法可能是从发布的内容中消除问号或井号之后的所有内容-然后,这很大程度上将是带有时间戳的流量模式,而不是内容模式。
评论
仅仅是您的浏览器历史记录还是对帐户/主机的完整折衷?这很重要,因为虽然您的浏览器历史记录可能不会提供太多信息(除非您陷入晦涩的色情内容),但是如果他们可以访问您的计算机/配置文件,Cookie,按键记录器,屏幕抓取工具,则完全是另外一回事。我不敢相信还没有人提到鱼叉。利用攻击者的最新信息,攻击者可以轻松发送虚假发票或以其他方式创建非常无法检测的网络钓鱼邮件。
我曾经在一个必须登录某些系统的地方工作。原来,“登录”是带有特定会话密钥的URL。服务器识别了会话ID,并且我已登录。此类信息可能在您的浏览器历史记录中。这种做法在各种方面都是不安全的,这是另一回事了。
搜索MLP的有效理由是什么?
@SombreroChicken-关于“没有心灵感应力量的小说中没有伴侣的家庭争论”