bgc*_*ode 14 javascript security analytics google-analytics http
Google Analytics通过客户在其网站上放置的客户端JavaScript来跟踪用户.正如安全社区所熟知的那样,客户端输入不可信.
所以,我想知道,是什么阻止了以下事件的发生:
我能想到的唯一可能的保护是基于HTTP头和IP地址速率限制,每个都可以通过分别篡改头和使用代理来避免.
我问,因为我正在考虑编写类似的客户端跟踪JavaScript.但考虑到所有的安全漏洞,我开始想知道为什么有人使用或信任客户端跟踪开始.
是的,攻击者可以操纵发送到Google服务器的请求.
我不知道谷歌为防止这种情况做了什么.没有一种好方法可以防止这种行为.
那么为什么用户仍然信任GA呢?恶意攻击者可以欺骗所有请求标头,但不能欺骗IP地址.因此,即使报告显示大量流量,您也会很快发现它们来自同一个IP地址.换句话说,折扣额外的流量是微不足道的.
当然有人可以从遍布全球的几台机器上进行攻击.然后,您将看到来自各地的虚假流量.您仍然可以通过过滤诸如用户代理或其他http标头之类的内容或恶意脚本特有的其他此类"签名"来捕获恶意流量.
你会说"但有人可以编写一个像HTTP头一样模拟现实生活的脚本".当然.但这提高了标准.你说的是谁的人有访问数百台机器遍布世界各地,可以编写数月努力,骗你的脚本,并能产生足够的随机数据,让你不能对任何一个属性进行筛选.
那个坚定的人能够并且将会有自己的方式.
| 归档时间: |
|
| 查看次数: |
713 次 |
| 最近记录: |