V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
0littleboy
V2EX  ›  程序员

Cookie 盗号的问题?

  •  
  •   0littleboy · 2023-04-17 09:49:30 +08:00 · 5411 次点击
    这是一个创建于 616 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情起因是看到电丸科技被盗号的事,据说是下载了恶意软件,被上传了浏览器的 cookie

    但我有些疑问

    在别人电脑上拷贝 cookie 的 sessionid 就可以直接在自己电脑上登陆了吗

    后端难道没有 mac 地址验证,ip 地址验证的东西吗?

    32 条回复    2023-04-17 19:45:20 +08:00
    yellowvii
        1
    yellowvii  
       2023-04-17 09:55:44 +08:00
    mac 地址验证这个实在是做不到,非常用 IP 倒是有很多家做保护。
    fatbear
        2
    fatbear  
       2023-04-17 09:58:42 +08:00   ❤️ 3
    第一浏览器没法获取 mac 地址,ip 地址很多家会做登录时的地区风控,但是一般不会有人做强制失效,除非有特殊需求,试想一个场景,你做高铁跨省市,ip 地址一换,你的 app 全被踢下线重新登陆是一种什么样的体验
    renmu
        3
    renmu  
       2023-04-17 10:00:52 +08:00 via Android
    收集 mac 地址又该被喷违规收集信息了。
    ip 地址验证一般只在登录时候做,不然难道你带电脑换个电脑就要重新登录?
    janus77
        4
    janus77  
       2023-04-17 10:03:26 +08:00
    举个栗子,你有没有用过梯子
    梯子有没有多节点
    你在一个节点登录成功,电脑里存了 cookie ,再换个节点,需要你重新登录了吗
    picone
        5
    picone  
       2023-04-17 10:08:04 +08:00
    银行会验证 IP ,比如招行。
    以前招行我连公司网络用不了,因为公司网络 NAT 出口每次都不一样不稳定,后来招行把这个限制干掉了。
    kujio
        6
    kujio  
       2023-04-17 10:15:03 +08:00
    我知道的移动、联通、广电、铁通、等经常会变 ip
    abc8678
        7
    abc8678  
       2023-04-17 10:16:55 +08:00 via Android
    不敢装 QQ 和微信,之前听说过盗 cookie
    deepshe
        8
    deepshe  
       2023-04-17 10:17:45 +08:00
    使用 cookie 的前提是你电脑是安全的,像这种已经算电脑被入侵了,电脑上所有软件都不安全了
    SmiteChow
        9
    SmiteChow  
       2023-04-17 10:20:08 +08:00
    cookie 就是你得身份证,所以谨慎使用别人提供得翻墙服务,特别是前端代理(一个第三方网站兼容所有墙外网站)翻墙服务
    bobryjosin
        10
    bobryjosin  
       2023-04-17 10:22:18 +08:00 via Android
    edge 可以把你 chrome 登录状态拿过来,其他的第三方一样可以
    calcoe
        11
    calcoe  
       2023-04-17 10:23:10 +08:00 via Android
    是的,几乎都是有 cookie ,UA 基本对应上,就可以登录。那些卖黑 facebook 账号的都是提供 cookie 加 UA 。
    sblid
        12
    sblid  
       2023-04-17 10:25:24 +08:00
    验不验证完全看网站如何选择,有些网站如果遇到 ip 变化就会要求重新登陆,但大部分都不做验证。
    changepll
        13
    changepll  
       2023-04-17 10:45:29 +08:00
    如果做的严谨一点. 可以加浏览器指纹来做. 但一般很少这样做
    56rhcrivs55TVKdX
        14
    56rhcrivs55TVKdX  
       2023-04-17 11:12:21 +08:00
    都安装恶意软件了, 还在担心 cookies ?
    Xusually
        15
    Xusually  
       2023-04-17 11:15:58 +08:00
    验证 ip 基本上登录的时候会做,而且就算是登陆时候验证,更常见的是验证登录地区,ip 限制不那么严格。

    电玩科技 AK 账号拿回来的过程恰恰也利用了这一点,他自己找了个和盗号者登陆他账号同 state 的梯子线路去找回了账号,不然的话他也面临更严格的风控。
    julyclyde
        16
    julyclyde  
       2023-04-17 11:26:24 +08:00
    为啥总有人想到 mac 地址呢?网络分层模型没去过?
    qwq11
        17
    qwq11  
       2023-04-17 11:42:12 +08:00
    mac 是获取不到的,数据包里的 mac 是上一个路由器的 mac ,不是客户端的,op 补一下计网知识。其次限制 ip 有很多私人站点是有的,比如 pt 站,因为搞 pt 的人一般都会有个不变的公网 ip 。最后你说复制 cookie ,Chrome 的 cookie store 是加密的(当前登录用户),所以在不给权限的情况下是拿不到 cookie ,除非你给了权限,那有了权限就可以为所欲为,偷 cookie 算是比较轻的一种了
    totoro625
        18
    totoro625  
       2023-04-17 11:42:54 +08:00   ❤️ 1
    被盗过 cookie
    Google 直接跳账户被盗,全部登录状态都掉了,具体被操作了什么 /发生了什么不清楚,官方说帮我回滚了被盗前的状态,强制我修改了密码
    Twitter 账户官方标注“禁止逃脱永久冻结”,申述 6 个月后回来了,盗号者发了 20+条币圈推并艾特了一堆人
    Instagram 账户永封,尚未申述成功
    leeraya
        19
    leeraya  
       2023-04-17 11:47:04 +08:00
    类似 CSRF ,窃取用户 token 进行请求伪造。另 http 请求头又个 referer 可以识别是从哪里发起的请求,但是鸡肋的是这个请求头能通过手段修改或者直接不传,这样后端就拿它没办法了。一般这种都是页面埋 csrf_token 来着,基本理念就是加大请求伪造的难度,避免请求伪造。
    icebearloveu
        20
    icebearloveu  
       2023-04-17 11:48:43 +08:00
    莫名其妙的发现有别人的账号
    leehon
        21
    leehon  
       2023-04-17 13:15:14 +08:00
    路径上讲,就是这么简单。前不久 FBI 就打掉一个出售 cookie 的俄罗斯黑产网站,最主要的就是 FB 的 cookie ,国内也曾经流行盗腾讯 QQ ptlogin 的 cookie ,可以登录邮箱,QQ 空间,那黑灰产后续可做的事情可太多了
    yidev
        22
    yidev  
       2023-04-17 13:20:09 +08:00
    建议 cookie 绑 user-agent,稍微安全点. 曾经绑 IP 被骂的半天下线.
    wanwaneryide
        23
    wanwaneryide  
       2023-04-17 16:31:57 +08:00
    能搞到你的 cookie 的话,搞到你常用的登录 ip 地区不难吧,然后找个你 ip 地址附近的代理 ip 也不是太难吧。
    yuqiuqiu
        24
    yuqiuqiu  
       2023-04-17 16:43:46 +08:00
    只要在别人电脑拿到了 cookie 的 sessionid ,就可以在自己电脑上登录了,但是如果设置了失效时间,就只能登录一段时间
    kaddusabagei38
        25
    kaddusabagei38  
       2023-04-17 16:47:08 +08:00
    这个问题还是得看对应的网站把安全措施做到了哪一步。

    如果登录仅仅只是验证个 cookie ,那确实随便了,事实上大多数网站也都是这样。

    但如果 cookie 只是其中一个要素,还要看登录 ip 之类的东西,那就不会这样了。

    一般来说支付相关的网站会严格一点,其他的没见过太多。
    mourner
        26
    mourner  
       2023-04-17 16:56:11 +08:00
    这个很难避免,
    如果恶意软件都能把你的 cookie 上传,
    那么你的电脑所有的内容都已经算是公开,
    网站是没办法判断当前登录的用户是否是盗号者,
    除非每执行一步操作就要进行是否本人的验证.
    JKeita
        27
    JKeita  
       2023-04-17 17:31:49 +08:00
    mac 地址属于数据链路层吧,应用层获取不到吧除非服务商用特殊方法收集。
    miaomiao888
        28
    miaomiao888  
       2023-04-17 18:50:38 +08:00
    移动有流量穿透吧,IP 地址满世界跑,不知道现在还有没有,这要验证的话比如 QQ 时不时给你冻结。
    abuabu
        29
    abuabu  
       2023-04-17 19:21:44 +08:00
    关于主题楼上都说的很对。但是他这个盗号最大问题是进行密码修改等敏感操作油管居然没有做任何验证,让人匪夷所思
    Ericcccccccc
        30
    Ericcccccccc  
       2023-04-17 19:25:57 +08:00
    这...那输入密码的框也能直接盗密码?
    Al0rid4l
        31
    Al0rid4l  
       2023-04-17 19:36:50 +08:00
    鉴权都是只认凭据不认人, 大部分时候 cookie 就是这个凭据, 凭据丢了等于被盗这没问题

    那么剩下的问题就是, 要不要把 (cookie, ip, mac) 这样或更多信息组成的 n 元组作为凭据?

    大部分小厂估计就只用 cookie 作为凭据, 大厂一般都有风控都很常见, 诸如不常见的登录地就触发验证, 或是其他设备登录触发验证, 这和你说的 ip mac 本质上没什么区别

    但是么, 越是严格的安全策略越是不方便, 安全和方便本来就矛盾, 最后只是看你接受付出多大的代价来交换
    id80108900
        32
    id80108900  
       2023-04-17 19:45:20 +08:00
    刚刚看完视频,一个激灵,还是把杀毒软件给安上了,毕竟挺懒的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1076 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.