脚本下载
【编辑推荐】
- 亚信安然成功抵抗全球第一只勒索蠕虫WannaCry
- 收集病毒入侵!国度网信安然中间教你如许做
- 前端安然之XSS进击
- 收集安然始创公司存活之道
- 小议验证码的安然性及若何绕过
隐私方面的担心
如不雅你想要拿到所有WhatsApp用户的手机号码、头像、以及状况信息,那么我告诉你,这其实是一件异常简单的工作,并且这些用户甚至都不须要将你添加到他们的通信录琅绫擎。
大年夜概在几年之前,WhatsApp开端许可我们在Web浏览器中应用WhatsApp了。这是一种晋升用户体验度的绝佳办法,因为与那手机屏幕里还没巴掌大年夜的九宫格键盘比拟,应用键盘来输入信息会加倍的便利,并且复制粘贴或者添加附件也异常的简单。固然长处如斯之多,但缺点也肯定会有。坏消息就是,大年夜技巧角度出发,我们将有可能应用WhatsApp的Web接口来创建一个宏大年夜的WhatsApp用户数据库。须要留意的是,可能只有一小部分用户不会受到影响:即那些没有修改隐私设置的用户(但WhatsApp并不鼓励这种不修改隐私设置的行动)。接下来,我会给大年夜家演示若何应用WhatsApp的API接口来收集大年夜量有趣的用户信息。
简单介绍
Web版WhatsApp须要经由过程用户的手机号来竽暌闺WhatsApp办事器进行连接。简而言之,也就是浏览器只须要根据一个特定的手机号就能让后台办事器返回所有与该手机号有关的信息。可能返回的信息如下:
- 用户头像;
- 与用户状况相干的文本信息,例如“嗨,我正在应用WhatsApp”等等;
- 用户当前的在线/离线状况;
我们发明,上述这些信息是可以经由过程手机号来请求获取的。也就是说,这个手机号所对应的WhatsApp是否将你添加为石友其实并不重要。因为这种经由过程手机号来请求用户信息的操作不会受到任何的限制,所以我们就可以创建一个完全的WhatsApp用户数据库,然后保存用户的手机号码、用户头像、状况文本信息、以及在线/离线状况。我们可以经由过程这些信息构建出一个与用户手机号相干的完全时光轴,而这个时光轴可以告诉我们用户的上线邮攀离线时光。
今朝,几乎所有的网站在用户浏览器中出现内容时,都包含有一种特别的法度榜样来决定网站的功能及表示情势,这种特别的法度榜样就是我们所说的JavaScript代码,这些JS代码决定了用户在点击某个按钮或移动鼠标时网站应当产生如何的动作。除此之外,它们也可胰吒踌事器进行连接,并请求某些类型的数据。当然了,Web端WhatsApp也不例外。它会向WhatsApp的后台办事器发送一个手机号码,几毫秒之后它便会收到有关这个手机号码的信息。对于我们来说,这种JavaScript法度榜样的好处就是任何人都可以查看到它的源代码,并且我们还可以将其用于其他的处所。我恰是应用了这种可能性开辟出了一个脚本,这个脚本可以向办事器请求大年夜量手机号码所对应的┞匪号信息,加倍重要的是,任何一小我都可以编写出如许的一种脚本。下面这张图片显示的是我的脚本请求的400个随机手机号所对应的信息:
那么,当我们拿到这些信息之后,我们能做些什么呢?起首你要知道的是,任何人都可以创建出如许的一种数据库,我们不仅可以知道一个用户(手机号)何时上线下线,并且还可以知道某个用户头像所对应的手机号码。接下来我跟大年夜家说一个最切近实际的应用处景。面部辨认技巧想必大年夜家都据说过吧?这项技巧近几年已经成长得很不错了,你可以假想一下,当你走在街上看见了一个美男(或帅哥),然后偷偷拍了一张TA的┞氛片,而如今你只须要将这个照片放到数据库中进行比对,你就可以拿到TA的手机号了。如不雅这是一个你所憎恶的人,那么你还可以应用TA的┞氛片、手机号、以及其他的信息并经由过程面部辨认体系来登录TA的某些在线办事。是不是很简单呢?这就是我对WhatsApp这个问题所产生的担心。
WhatsApp给出的回应
我异常支撑“负义务的马脚披露”,所以当我发清楚明了这个马脚之后,我便急速与Facebook(因为WhatsApp是Facebook旗下的产品)取得了接洽。总而言之,他们已经意识到了这件工作(有可能收集到大年夜量用户数据),然则他们并不认为这个问题与用户隐私有关。他们给出的答复如下:
固然他们的答复看起来也没什愦问题,并且我本身甚至差点都被他们说服了。然则沉着下来细心想想,老是感到滚滚的…
请留意,你必须在Web端WhatsApp所运行的同一标签中发送请求,你还须要在页面DOM中添加一个元素。
技巧分析
不建议非技恋人员浏览这部分内容,因为你们可能会看不懂…
Web端WhatsApp应用了一个文档中没有提到的API,你可以随便应用这个API,但你起首得本身弄清跋扈怎么去应用它。这里,JavaScript API在与WhatsApp办事器进行通信时应用了一个WebSocket。
推荐阅读
[root@centos7 ~]# cp -p /etc/named.conf /var/named/chroot/etc/named.conf BIND也叫做NAMED,是现今互联网上应用最为广泛的DNS 办事器法度榜样。这篇文┞仿将要讲述如安在 chroot 监牢>>>详细阅读
地址:http://www.17bianji.com/lsqh/35258.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示