M09ic's Blog

独自行走于莽荒之地

0%

有关百度的溯源与反溯源

溯源

众所周知,百度有多个臭名昭著的jsonp漏洞长时间不修复,已经被蜜罐利用多年.

通过百度id溯源攻击者成为了某几个蜜罐厂商防守拿分大头.我也在这上面栽过一次.

jsonp劫持

互联网发展早期,前端有跨域的刚需但是缺少跨域的解决方案,因此,通过投机取巧的方式封装了script标签的跨域特性.用json

来交换数据,这种方式成为jsonp.

因为其投机取巧,因此并不安全.

cookie在jsonp中没有起到权限验证的作用,反而成为了jsonp的帮凶. 如果攻击者登录了百度,并且访问了蜜罐.蜜罐就可以通过嵌入html的js发起jsonp请求,这个请求因为cookie同站的特性,这个jsonp请求会自动带上cookie,获取到敏感信息.

这个过程和csrf很像,但是更严重,因为jsonp可以获取到返回数据.

jsonp是一个理应也已经被淘汰的技术.

百度已知jsonp漏洞

1
2
3
https://mbd.baidu.com/newspage/api/getusername
https://baike.baidu.com/api/usercenter/login
https://passport.baidu.com/v2/api/?ucenteradduname

上面三个已修复

搜索引擎

这几个jsonp大多都能拿到百度id.然后通过百度id在搜索引擎搜索别人的历史记录,大多数情况下可以获取找到真实身份.

需要注意的是,google,百度,搜狗,bing等搜索引擎搜索的结果不相同,结合多个搜索引擎可以搜到许多意想不到的东西.

搜索引擎对百度知道的收录相对较好.

百度知道与快照

可能有些有安全意识的攻击者会删除百度知道的内容,不过刚才也说了,搜索引擎对百度知道的收录较好,因此大多数百度知道的网页都存在快照.只要能找到链接,就算内容别删除了,也可以在快照中看到.

贴吧高级搜索

因为贴吧的特性,搜索引擎并不能很好的收录全部信息,而贴吧又是上个时代最热门的社交工具,很多人都在这里发布了有关个人信息的敏感消息.

更可恶的是,贴吧的设计非常混乱,并且因为刘慈欣事件隐藏了2017年之前的帖子.

注意!是隐藏,不是删除. 隐藏只是搜索引擎搜不到,但是贴吧自带的高级搜索可以搜到.

https://tieba.baidu.com/f/search/adv

更更可恶的是,被隐藏的帖子还无法手动删除,并且没有任何举报,申诉的接口.

反溯源

隐私设置

不得不再一次吐槽百度的设计,明明是同一个账号,但是在手机端和web端的隐私设置是独立的.

贴吧:

手机端有下面三个选项我觉得比较重要:

1
2
3
公开地理位置信息
公开我的群组
我关注的吧

web端 http://tieba.baidu.com/i/i/profile中的选项

隐藏个人动态

百度知道:

https://zhidao.baidu.com/ihome/homepage/myaccount?tabpane=followset

个人页面展示设置

等等,每个app的web端和手机端都有一些不同的隐私设置,建议都看一遍.

加强隐私设置只是治标不治本的方法,因为百度的大多数内容都可以被搜索引擎抓取,因此就算设置了隐私,也可以通过搜索引擎搜索.

根本的解决方法还是删除内容.

一次性的解决方案是注销百度账号.

搜索引擎

不管是搜索引擎还是搜索引擎的快照都可以通过举报

百度: https://help.baidu.com/webmaster/add

google: https://support.google.com/legal/troubleshooter/1114905?hl=zh-Hans

其他搜索引擎也有类似的接口.自行申诉

还有一种方式,如果删除了某个百度知道提问或者回到,过一段时间搜索引擎会自然从搜索结果中删除.大概在半个月到一个月左右.

贴吧

最恶心的是贴吧的内容.

之前说到了贴吧隐藏了历史帖子,所以无法自行删除.只能抓包修改的方式删除.

首先通过高级搜索搜索自己历史发言.

右键检查

image-20201208161244134

抓包删除需要三个值,分别是这里的data-tid,data-fid以及pid.

然后用burp抓一个没被隐藏的帖子的删除包

替换对应的三个值

image-20201208161630480

发包即可,不管成功失败,返回包都是这个,因此只能通过再次搜索确认是否删除成功.

愿天堂没有百度

欢迎关注我的其它发布渠道