这是一个创建于 908 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情起因是看到电丸科技被盗号的事,据说是下载了恶意软件,被上传了浏览器的 cookie
但我有些疑问
在别人电脑上拷贝 cookie 的 sessionid 就可以直接在自己电脑上登陆了吗
后端难道没有 mac 地址验证,ip 地址验证的东西吗?
 | 1 yellowvii 2023-04-17 09:55:44 +08:00 mac 地址验证这个实在是做不到,非常用 IP 倒是有很多家做保护。 |
 | 2 fatbear 2023-04-17 09:58:42 +08:00  3 第一浏览器没法获取 mac 地址,ip 地址很多家会做登录时的地区风控,但是一般不会有人做强制失效,除非有特殊需求,试想一个场景,你做高铁跨省市,ip 地址一换,你的 app 全被踢下线重新登陆是一种什么样的体验 |
 | 3 renmu 2023-04-17 10:00:52 +08:00 via Android 收集 mac 地址又该被喷违规收集信息了。 ip 地址验证一般只在登录时候做,不然难道你带电脑换个电脑就要重新登录? |
 | 4 rb6221 2023-04-17 10:03:26 +08:00 举个栗子,你有没有用过梯子 梯子有没有多节点 你在一个节点登录成功,电脑里存了 cookie ,再换个节点,需要你重新登录了吗 |
 | 5 picone 2023-04-17 10:08:04 +08:00 银行会验证 IP ,比如招行。 以前招行我连公司网络用不了,因为公司网络 NAT 出口每次都不一样不稳定,后来招行把这个限制干掉了。 |
 | 6 kujio 2023-04-17 10:15:03 +08:00 我知道的移动、联通、广电、铁通、等经常会变 ip |
 | 7 abc8678 2023-04-17 10:16:55 +08:00 via Android 不敢装 QQ 和微信,之前听说过盗 cookie |
 | 8 deepshe 2023-04-17 10:17:45 +08:00 使用 cookie 的前提是你电脑是安全的,像这种已经算电脑被入侵了,电脑上所有软件都不安全了 |
 | 9 SmiteChow 2023-04-17 10:20:08 +08:00 cookie 就是你得身份证,所以谨慎使用别人提供得翻墙服务,特别是前端代理(一个第三方网站兼容所有墙外网站)翻墙服务 |
 | 10 bobryjosin 2023-04-17 10:22:18 +08:00 via Android edge 可以把你 chrome 登录状态拿过来,其他的第三方一样可以 |
 | 11 calcoe 2023-04-17 10:23:10 +08:00 via Android 是的,几乎都是有 cookie ,UA 基本对应上,就可以登录。那些卖黑 facebook 账号的都是提供 cookie 加 UA 。 |
 | 12 sblid 2023-04-17 10:25:24 +08:00 验不验证完全看网站如何选择,有些网站如果遇到 ip 变化就会要求重新登陆,但大部分都不做验证。 |
 | 13 changepll 2023-04-17 10:45:29 +08:00 如果做的严谨一点. 可以加浏览器指纹来做. 但一般很少这样做 |
 | 14 56rhcrivs55TVKdX 2023-04-17 11:12:21 +08:00 都安装恶意软件了, 还在担心 cookies ? |
 | 15 Xusually 2023-04-17 11:15:58 +08:00 验证 ip 基本上登录的时候会做,而且就算是登陆时候验证,更常见的是验证登录地区,ip 限制不那么严格。 电玩科技 AK 账号拿回来的过程恰恰也利用了这一点,他自己找了个和盗号者登陆他账号同 state 的梯子线路去找回了账号,不然的话他也面临更严格的风控。 |
 | 16 julyclyde 2023-04-17 11:26:24 +08:00 为啥总有人想到 mac 地址呢?网络分层模型没去过? |
 | 17 qwq11 2023-04-17 11:42:12 +08:00 mac 是获取不到的,数据包里的 mac 是上一个路由器的 mac ,不是客户端的,op 补一下计网知识。其次限制 ip 有很多私人站点是有的,比如 pt 站,因为搞 pt 的人一般都会有个不变的公网 ip 。最后你说复制 cookie ,Chrome 的 cookie store 是加密的(当前登录用户),所以在不给权限的情况下是拿不到 cookie ,除非你给了权限,那有了权限就可以为所欲为,偷 cookie 算是比较轻的一种了 |
 | 18 totoro625 2023-04-17 11:42:54 +08:00 1 被盗过 cookie Google 直接跳账户被盗,全部登录状态都掉了,具体被操作了什么 /发生了什么不清楚,官方说帮我回滚了被盗前的状态,强制我修改了密码 Twitter 账户官方标注“禁止逃脱永久冻结”,申述 6 个月后回来了,盗号者发了 20+条币圈推并艾特了一堆人 Instagram 账户永封,尚未申述成功 |
 | 19 leeraya 2023-04-17 11:47:04 +08:00 类似 CSRF ,窃取用户 token 进行请求伪造。另 http 请求头又个 referer 可以识别是从哪里发起的请求,但是鸡肋的是这个请求头能通过手段修改或者直接不传,这样后端就拿它没办法了。一般这种都是页面埋 csrf_token 来着,基本理念就是加大请求伪造的难度,避免请求伪造。 |
 | 20 icebearloveu 2023-04-17 11:48:43 +08:00 莫名其妙的发现有别人的账号 |
 | 21 leehon 2023-04-17 13:15:14 +08:00 路径上讲,就是这么简单。前不久 FBI 就打掉一个出售 cookie 的俄罗斯黑产网站,最主要的就是 FB 的 cookie ,国内也曾经流行盗腾讯 QQ ptlogin 的 cookie ,可以登录邮箱,QQ 空间,那黑灰产后续可做的事情可太多了 |
 | 22 yidev 2023-04-17 13:20:09 +08:00 建议 cookie 绑 user-agent,稍微安全点. 曾经绑 IP 被骂的半天下线. |
 | 23 wanwaneryide 2023-04-17 16:31:57 +08:00 能搞到你的 cookie 的话,搞到你常用的登录 ip 地区不难吧,然后找个你 ip 地址附近的代理 ip 也不是太难吧。 |
 | 24 yuqiuqiu 2023-04-17 16:43:46 +08:00 只要在别人电脑拿到了 cookie 的 sessionid ,就可以在自己电脑上登录了,但是如果设置了失效时间,就只能登录一段时间 |
 | 25 kaddusabagei38 2023-04-17 16:47:08 +08:00 这个问题还是得看对应的网站把安全措施做到了哪一步。 如果登录仅仅只是验证个 cookie ,那确实随便了,事实上大多数网站也都是这样。 但如果 cookie 只是其中一个要素,还要看登录 ip 之类的东西,那就不会这样了。 一般来说支付相关的网站会严格一点,其他的没见过太多。 |
 | 26 mourner 2023-04-17 16:56:11 +08:00 这个很难避免, 如果恶意软件都能把你的 cookie 上传, 那么你的电脑所有的内容都已经算是公开, 网站是没办法判断当前登录的用户是否是盗号者, 除非每执行一步操作就要进行是否本人的验证. |
 | 27 JKeita 2023-04-17 17:31:49 +08:00 mac 地址属于数据链路层吧,应用层获取不到吧除非服务商用特殊方法收集。 |
 | 28 miaomiao888 2023-04-17 18:50:38 +08:00 移动有流量穿透吧,IP 地址满世界跑,不知道现在还有没有,这要验证的话比如 QQ 时不时给你冻结。 |
 | 29 abuabu 2023-04-17 19:21:44 +08:00 关于主题楼上都说的很对。但是他这个盗号最大问题是进行密码修改等敏感操作油管居然没有做任何验证,让人匪夷所思 |
 | 30 Ericcccccccc 2023-04-17 19:25:57 +08:00 这...那输入密码的框也能直接盗密码? |
 | 31 Al0rid4l 2023-04-17 19:36:50 +08:00 鉴权都是只认凭据不认人, 大部分时候 cookie 就是这个凭据, 凭据丢了等于被盗这没问题 那么剩下的问题就是, 要不要把 (cookie, ip, mac) 这样或更多信息组成的 n 元组作为凭据? 大部分小厂估计就只用 cookie 作为凭据, 大厂一般都有风控都很常见, 诸如不常见的登录地就触发验证, 或是其他设备登录触发验证, 这和你说的 ip mac 本质上没什么区别 但是么, 越是严格的安全策略越是不方便, 安全和方便本来就矛盾, 最后只是看你接受付出多大的代价来交换 |
 | 32 id80108900 2023-04-17 19:45:20 +08:00 刚刚看完视频,一个激灵,还是把杀毒软件给安上了,毕竟挺懒的。 |
Select Language