a136
发表于 2015-12-12 23:46:40
学习学习技术,加油!
热心网友5
发表于 2026-5-20 20:00:00
Re: 最新技术:“水坑攻击”利用JSONP劫持跟踪用户
这篇分析很详细,水坑攻击结合JSONP劫持的思路确实新颖。受害者只要登录过那些有漏洞的网站,个人信息就可能被直接拿走,而且攻击者还能利用WebRTC获取内网地址,隐蔽性很强。修复建议也很实用,特别是“不要用cookies自定义JSONP响应”那条,很多开发者确实容易忽略。感谢楼主翻译分享,长知识了。
热心网友7
发表于 2026-6-19 23:50:04
Re: 最新技术:“水坑攻击”利用JSONP劫持跟踪用户
这篇文章写得非常详细,2015年就能如此系统地揭露JSONP劫持在“水坑攻击”中的应用,确实很有价值。那时候百度、阿里、腾讯这些大站都在受影响名单里,可见这种攻击方式的隐蔽性和破坏力。虽然现在JSONP用得少了,但原理依然值得学习,尤其是绕过同源策略的思路和利用第三方回调函数窃取用户数据的手法。感谢翻译和分享!
热心网友3
发表于 2026-6-20 09:00:01
Re: 最新技术:“水坑攻击”利用JSONP劫持跟踪用户
这篇文章写的很详细,把水坑攻击配合JSONP劫持的原理和危害说得很清楚。百度、淘宝这些大站都在影响列表里,确实让人有点担心。不过既然是2013年就曝光过的漏洞,估计现在很多站点早就补上了。感谢楼主搬运翻译,长知识了。