一次有趣的网页敏感信息保护 和 解析数据 思考

已于 2022-05-18 13:50:20 修改
阅读量383 收藏
点赞数
分类专栏: 解决方案 趣味 文章标签: javascript
于 2022-05-17 22:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kcp606/article/details/124832169
版权

使用字体保护网页敏感信息

在一次找(爬)数据的过程中,想批量处理一些业务数据,发现了这个巧妙的敏感信息隐藏思路。
如下图所示,手机号直接明文暴露出来了,但是当你想复制出来时发现复制了一堆的方块,是11个特殊字符 򈊘򈊜򈊗򈊗(省略后续位数)。
F12定位元素也是能看到都是小方块,但是又没有看到有请求去后端拉取数据,这就有点意思了。

如果恰好有用专业的IDE或者复制到Terminal,就会发现是一串不常见的unicode串编码。那么怎么获取这份明文数据呢。
在这里插入图片描述

隐藏实现思路:

  1. 对应业务的网页直接做静态化,不通过后端请求敏感信息(其实这个设计是最不安全的,虽然成本低)。
  2. 展示的值是特殊字体(例如 LeeTreeshadow)渲染后的值,而不是普通的字符串,即无法直接通过复制粘贴,读取网页HTML得到真实值
  3. 字体文件还能再通过js用base64加载进来,规避F12直接看到字体ttf文件
  4. 每个网页使用不同的unicode和数字映射规则,加大数据字典构造复杂度
  5. 再对整体静态结果资源进行混淆

爬虫解密思路

  1. 得到字体实际unicode字符串值
  2. 数据字典构造
    1. 人工去寻找unicode值和肉眼看到的数字组成数据字典(才10个数字),但是遇到多规则就无法人工完成了
    2. 终极:通过unicode值的规律来推算出数据字典,一个正经的字体文件 定义 unicode时 0-9 是有序递增的,而国内手机号都是1开头,所以。。。
kcp606
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML5学习笔记
weixin_30268921的博客
11-20 74
(一)SVG(Scalable Vector Graphics) 使用: 1、使用 <svg width="200" height="200"></svg> 2、画矩形 <rect x="10" y="20" width="100" height="80" stroke="red" fill="#ccc" /> 3、画圆形 <cir...
中文字体font-family常用列表
aoquedai2376的博客
12-19 1013
中文字体font-family常用列表 Windows: 新細明體:PMingLiU 細明體: MingLiU 標楷體: DFKai-SB 黑体: SimHei 新宋体: NSimSun 仿宋: FangSong 楷体: KaiTi 仿宋_GB2312:FangSong_GB2312 楷体_GB2312:KaiTi_GB2312 微軟...
web中常见的敏感信息
weixin_43040175的博客
04-10 1740
Web中常见的敏感信息 web页面中暴露敏感信息是安全的一个减分项,因为从一些敏感信息可以增加网页攻击的风险。 敏感信息的分类: 个人信息、系统版本信息、系统认证信息、设备标识信息等 个人信息 常见的个人信息有:身份信息、生物识别信息、财产信息、健康生理信息、网络身份标识信息,以及电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等; 系统版本信息 系统用到的中间件及其他三方件的版本号,以及数据库的版本信息等; 系统认证信息 登录时的口令
漏洞解决方案-敏感信息脱敏显示
smart的博客
08-27 7193
漏洞解决方案-敏感信息脱敏显示前置知识修复方案代码参考 前置知识 银行业务复杂繁多,前端与后台的信息交互频繁,容易出现敏感信息泄露问题。 威胁描述: 如果客户敏感信息泄露,将会对银行造成客户流失以及声誉的影响。 涉及功能点: 任何涉及客户敏感信息显示的功能点。 修复方案 js代码中应减少不必要的注释,避免暴露过多业务逻辑,防范敏感信息泄露,新功能上版本验证测试的时候可以对js代码压缩或者在开发阶段减少不必要的业务逻辑注释; 交易开发过程中,开发人员需要根据具体业务场景返回给页面或渠道相应数据,避免返回多
浏览器显示“网站连接不安全”怎么解决 怎么解除网站连接不安全
热门推荐
eeeebook的博客
10-31 3万+
现在很多网站打开的时候发现浏览器地址栏多了一个小的信息提示,点开看,谷歌的Chrome浏览器会提示“连接不安全”,火狐的firefox浏览器会提示“您与此网站之间建立的连接不安全”。 这种一般是什么原因导致的呢? 因为该网站未采用SSL证书使用https加密连接。 如果您是该网站的访客,请注意不要在该网站上输入任何敏感信息,更不要在线进行任何购买等交易,因为正规的网上商城网站都会使用 https 加密连接来保护用户的信息安全。 如果您是网站的运营者,请尽快为网站申请SSL证书.推荐一个可以.
网络游戏-传输数据的方法、终端设备和网络设备.zip
09-19
网络游戏是当今互联网时代的一种热门娱乐形式,涉及到众多的技术层面,其中传输数据的方法、终端设备和网络设备是确保游戏流畅运行的关键要素。以下是对这些主题的详细解析: **传输数据的方法** 网络游戏中的数据...
物联网本质与标准的思考及新物联网框架探讨
10-24
这种体系使得标准制定者掌握了编码分配、信息解析和传输协议,从而可能对全球的商品流通和信息流产生重大影响,同时也可能带来安全隐患,因为编码解析服务器的所有者可以获取大量敏感信息。 中国在物联网领域面临的...
patchesQuotes:一个推特机器人,发布不间断的补丁报价
04-19
2. **配置文件**:可能有 `.env` 文件,存储敏感信息如推特API密钥,以保护这些信息不被公开。 3. **数据文件**:可能有一个或多个数据库文件或文本文件,储存了补丁语录的内容。 4. **脚本和工具**:如 `package....
code.rar_教育系统应用_Python_
08-09
总的来说,Python在教育系统中的应用不仅仅体现在抓取天气图这样的实例中,更在于培养学生的编程思维、解决问题的能力以及对数据敏感度。通过这样的实践,学生不仅可以掌握Python的基本语法,还能了解到网络爬虫的...
【ChatGPT进阶】如何使用ChatGPT替代搜索引擎
05-10
6. **隐私与安全**:使用ChatGPT时,要注意保护个人隐私,避免提供敏感信息。此外,不要过分依赖ChatGPT,因为它可能会学习并记住你的输入。 7. **持续反馈**:OpenAI鼓励用户对其服务提供反馈,以帮助改进模型。...
【前端js文件敏感信息混淆加密处理】
weixin_43773210的博客
06-30 2523
前端js文件敏感信息混淆加密处理
前端对敏感数据身份证号姓名等进行脱敏处理
luoxiaonuan_hi的博客
07-01 5345
前端敏感信息脱敏处理
10种防止网络攻击的方法
可爱的小狼的博客
12-25 1万+
10种防止网络攻击的方法 随着威胁形势的不断发展,建立全面的网络安全解决方案需要外围安全性和主动的网内防御 。随着网络攻击的范围,规模和频率不断增加,网络卫生正变得越来越重要。与个人卫生相似,网络卫生是指旨在帮助维护系统整体健康小型实践和习惯。通过养成良好的网络卫生习惯,您可以减少整体漏洞,使自己不易受到许多最常见的网络安全威胁的影响。这很重要,因为无论是作为个人还是组织的代表,用户最终都要承担一...
敏感信息识别方法探究
weixin_33950035的博客
06-26 2519
2019独角兽企业重金招聘Python工程师标准>>> ...
链接涉及的网络安全
NilEcho2333的博客
07-07 236
目前拼多多助力已经是一个非常普遍的事请了,每隔一段时间拼多多会有一些非常优惠的助力活动,但是在商业竞争下的种种问题,导致拼多多助力传播的过程异常艰难,常有通过链接的方式进行助力。 但是,肯定每个人都有一个这样的概念,就是"陌生人分享的链接不要点"。这样也就隐含了"熟人的链接,是可以点击的"。这也就正中骗子的下怀。也就是说,正在跟你聊天的人,可能并不是你的熟人。或者他认为的这个助力链接已经被人替换为钓鱼链接。 常有的钓鱼手段介绍 案例1 对于现在的大部分人来说,破解一个...
表单编辑页的信息脱敏设计 前端加密后端解密
发现问题,面对问题,分析问题,解决问题,总结问题
08-31 3705
文章目录【需求】【分析】【代码设计】 【需求】 数据系统存在大量的人员敏感信息,身份证、手机号码等等,应安检需要必须做到所有数据脱敏,这其中包括了列表展示的脱敏以及编辑页面的脱敏 【分析】 列表的脱敏只需要后端预先做好脱敏后接口返回的数据脱敏即可,但是编辑页的就麻烦些,考虑事项如下 1:前端表单展示的也必须是脱敏的数据,用户不可以在表单,注意也不能通过F12源码中看到敏感信息,不可以设置隐藏字段保存敏感信息 2:前端在编辑完成保存后传输时也需要脱敏或者加密 3:由于前端展示的是脱敏的字符串,但是在提交表单的
各大浏览器对HTTP网站会有哪些“不安全”警告
SSL加密技术
10-16 2060
随着互联网的发展,各大主流浏览器对未部署SSL证书的HTTP网站会发出“不安全”的警告,并提醒用户不要在该网站输入任何敏感信息,以防被攻击者盗取信息。从而帮助用户了解与网站之间的连接何时不安全,同时激励网站所有者部署SSL证书实现https加密来提高其网站的安全性。 各大浏览器提示信息如图所示: 当SSL证书过期时,也会有不安全的警告,如图所示: 当网页中调用了非HTTPS的外部资源(图片或js)时,网站会存在不安全因素,会被标记为“您与该网站的连接并非完全安全”。 在数据泄露事
Vue 3 和 SpringBoot 实现文件分片上传示例
exlink2012的专栏
07-22 253
实现分片上传,并使用Spring Boot在后端保存文件。前端将文件分片并逐个上传到后端,后端接收到所有分片后再进行合并,最终保存为一个完整文件。
VUE中的重点*
最新发布
qq_61132537的博客
07-22 627
实际上就是一个闭包,因为vue是单页面应用,是由很多组件构成,每一个组件中都有一个data, 所以通过闭包给每一个组件创建了一个私有的作用域,这样就不会相互影响。
欧盟GDPR全译文:一般数据保护法规解析
"欧盟的一般数据保护法(GDPR)是针对个人数据保护和自由流动的一部法规,旨在保护自然人的基本权利和自由,特别是他们的个人数据权利。法规适用于以自动方式处理的个人数据,除非这些处理活动属于特定的非欧盟活动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值