0x00 前言
連著十來天沒發(fā)技術文章了窿克,講真,真的不是我不寫似嗤,月初被學校拜托寫一個網站领虹,寫了7天才寫完,加上修補漏洞蛤袒,結果由于種種原因熄云,網站無法部署,目測是白寫了妙真,超傷心( ╥﹏╥... )缴允,委屈,都怪我沒維護好服務器珍德,讓服務器遭到那么嚴重的攻擊练般,給辣么多同學帶來了麻煩矗漾,自我檢討ing... (省略1000字)
好像跑題了喵,好啦踢俄,接下來進入正題缩功。
0x01 從Web查看異常
這兩天團隊的成員在訪問一些頁面的時候,發(fā)現一些頁面有些異常都办,用同一個設備和瀏覽器在不同網絡環(huán)境中訪問同一個頁面嫡锌,在瀏覽器的廣告攔截處顯示的數字不一樣,哎琳钉?什么情況势木?
這個細節(jié)成功引起了我的興趣,好了歌懒,開始分析啦桌。我在此使用的是瀏覽器廣告攔截插件是adblock (這算不算是廣告,有沒有廣告費及皂?)甫男,打開插件內置的“Show all requests”功能,看到如下圖
我看見了一個奇怪的請求验烧,沒錯板驳,正常訪問的時候沒有這段請求,審查網頁源代碼的時候找到了多了的一個js引用
呃端幼,最討厭壓縮的代碼了,格式化一下(附上代碼連接)
剛拿到代碼時有點興奮弧满,直接就往下看代碼婆跑,看了大概1000來行,感覺有些像我以前寫過的一部分代碼谱秽,而那個功能的作用就是“帆布指紋識別”洽蛀。好,從頭看了一下疟赊。。峡碉。近哟。。鲫寄。 “fingerprintjs2”吉执?疯淫!
呃,其實我第一眼就看到了這個戳玫,嗯熙掺,沒錯,就是這樣咕宿,這個正是一款知名的開源設備指紋采集插件币绩,也就是俗稱的“帆布指紋識別”,即便使用Tor洋蔥瀏覽器府阀,也并不能完全排除被追蹤的可能性缆镣,雖然這個識別率按照網上的一些測試結果達到了94%,但這個也是一個很可怕的事情试浙。不過董瞻,你以為某品牌路由器就給你了這一個“驚喜”嗎?不田巴,你錯了钠糊。這個指紋識別的代碼不過才有1000余行,而這個引入的文件總行數為4000余行(這里我使用了代碼格式化壹哺,不同的代碼格式化方式會使行數有些不同抄伍,但是這里我依舊可以認為這個代碼里面至少還有一部分功能),我們開始向下繼續(xù)審計代碼斗躏。
大概在1900行附近逝慧,發(fā)現一句js引用調用函數
發(fā)現這句話不是執(zhí)行語句,目測像個配置參數啄糙,全文搜索一下笛臣,
先不管那么多的網址,先看看這個js里面有什么東西隧饼。
真的是干凈整潔沈堡,全文就兩個網址,但是這標題燕雁,赤裸裸的標題黨诞丽?
其實我只是想看看這個鏈接里面是什么(很單純的呢,絕對沒有抱有什么期望呢)拐格,但是我們在電腦的瀏覽器上并沒有看到類似的廣告僧免,證明這個廣告應該是存在一定的規(guī)則,并不是什么時候都有捏浊。換成手機版訪問一個頁面再試試懂衩。
果然不出所料,這里面會檢測是否為手機端訪問,之后再把廣告寫到頁面上浊洞,大きな変態(tài)牵敷!
Web端分析到此為止,你以為這就完了嗎法希?不枷餐,這怎么可能結束,接下來苫亦,我們再來翻騰一下固件里面的問題毛肋。
0x02 固件?
pass
0x04 結束語
固件都沒分析完著觉,結束個毛球
(未完待續(xù))
