反制小技巧-利用访客记录获取攻击者社交ID

反制小技巧-利用访客记录获取攻击者社交ID

一、攻击原理

我们知道很多社交平台具有访客记录,那么是否可以利用此功能进行钓鱼获取攻击者社交ID从而进一步进行溯源呢?

国内百度用户较多,印象中百度贴吧是可以看到访客的,测试一下。

二、测试过程

首先,登录百度账号A.查看个人主页,可以看到最近的访客。

准备账号B,访问账号A的主页。
账号B改个头像便于识别。


访问A主页

刷新账号A的主页,查看访客是否新增,可以看到访客新增了。


鼠标放上去即可获得访问者的用户名

如果用户没有使用过贴吧,则提示网络错误,如下图


之后我们只要写一个页面,例如加入登录跳转功能等,诱导目标访问我们的贴吧,如果此时目标浏览器登录百度账号,且使用过贴吧,那么我们就可以得到目标的昵称,之后根据昵称去进一步搜索相关信息。

三、总结

利用条件:
条件一:需对方使用过百度贴吧;
条件二:浏览器百度账号为登录状态;
条件三:需要用户交互。

攻击过程:
制作钓鱼页面-攻击者点击访问-查看访客记录-获取目标ID

其他社交软件同此思路。

句芒安全实验室成员(ID:sec_demo)原创,转载请标明出处。


 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值