HomeĐời SốngJuno_okyo là ai

Juno_okyo là ai

18:12, 05/04/2021

Ngày hôm qua, trong lúc ngồi sinh hoạt đơn vị, bản thân ngó qua Google Analytics để thấy tình trạng trang aiesec-unwe.net thế nào. Chợt nhận ra trong các các trang đang xuất hiện người truy cập có tên là “clone-aiesec-unwe.net.html”. Mình nghĩ âm thầm “haiz, thấy hình ảnh landing bạn ta đẹp yêu cầu chôm trên đây mà”.

Bạn đang xem: Juno_okyo là ai


*

Tại sao bản thân nghĩ vậy? Đơn giản là vì Lúc ai đó xào luộc mã mối cung cấp của một website nhưng vô tình xào luộc luôn luôn cả mã theo dõi của Google Analytics (GA) thì Khi mlàm việc trang kia lên nó sẽ tiến hành hiển thị luôn vào Dashboard của chủ mã GA. Như vậy tương đối bi thiết cười cợt do lẽ ra Google yêu cầu xác minc truy nã vấn gửi về server liệu có phải là từ thương hiệu miền được tùy chỉnh Lúc tạo mã theo dõi mới.

Nghĩ âm thầm vậy thôi, vị trước đó cũng có ông làm sao đó chôm hình ảnh Blog cá thể của chính mình cùng cũng giữ luôn luôn mã theo dõi và quan sát trong số ấy đề xuất bản thân hối hả biết rõ sự việc. Điều này cũng chẳng đặc trưng lắm, “đồ họa bản thân đẹp nhất thì bạn ta mới xào nấu thôi” – bản thân nghĩ về vậy, tắt tab GA đi rồi thao tác tiếp.

Tối về, ngồi ở trong nhà mở GA lên xem tình hình, bất chợt nhận biết giữ lượt truy vấn tăng dần đều so với tất cả khi tuy nhiên những trang hiển thị hơi kì quái. Một loạt các trang tất cả cất tđắm đuối số quan sát và theo dõi bởi vì FB thêm vào tự động hóa (?fbclid=xxx) cùng một trang mang tên “tutorial-gc.html” mở ra trong bảng báo cáo. Mình vẫn cần sử dụng CloudFlare nhằm loại trừ tsi mê số theo dõi của FB cần các trang tê dù có đường truyền là index tuy thế chắc hẳn rằng chưa phải index của bản thân. “phần lớn trang bắt đầu xuất hiện thay này hẳn là tkhô nóng niên kia đã có tác dụng hoàn thành website và share lên ở đâu đó phải có không ít fan vào rồi đây” – mình suy nghĩ thầm.

Lần này thì không giống cùng với cơ hội làm việc cửa hàng, bản thân bắt đầu thấy khó chịu vì chưng lúc có tương đối nhiều lưu lượng truy vấn tự trang không phải của bản thân mình sẽ làm lệch lạc report lưu giữ lượng các tháng vào GA. Ngay mau lẹ, mình msinh sống tab ẩn danh cùng tra cứu thử bên trên Google coi lúc chạm mặt trường đúng theo tín đồ khác thực hiện mã GA của chính mình vào trang của họ thì nên xử lý nlỗi nào.

Quả nhiên, mình chưa hẳn là bạn tuyệt nhất gặp gỡ ngôi trường đúng theo này:

Nhờ câu trả lời bên trên Stackexchange, mình được biết bản lĩnh sản xuất cỗ thanh lọc trong GA. Ngay chớp nhoáng bản thân tuân theo, với đấy là cơ hội câu chuyện thú vị rộng bước đầu ra mắt.

khi tạo thành cỗ thanh lọc mới, GA có thể chấp nhận được họ xác thực test xem bộ thanh lọc new hoạt động đúng hay là không, bản thân thừa nhận thử “Verify this filter” (Kiểm tra bộ lọc này) thì thấy hiện ra những danh sách thương hiệu miền bị thanh lọc ngoài công dụng. Phải nói trước là vốn dĩ mình chỉ định lọc đụn hiệu quả sai ra khỏi Dashboard của chính mình chứ không cần quan tâm bọn chúng là gì. Nhưng nhờ chức năng xem demo các thương hiệu miền bị thanh lọc, mình vô tình phát hiển thị một chiến dịch tấn công người dùng FB vẫn diễn ra nhắm vào phần đa ai hy vọng tiếp tục thực hiện bối cảnh cũ của FB.


*

Từ bảng bên trên, mình thuận lợi nhận ra trang vẫn tạo nên không ít lưu giữ lượng sai về tài khoản GA của mình là 2 trang old-xxx. Nhìn theo sub-domain, ta rất có thể đoán thù 2 trang này là một trong, được deploy lên netlify và thêm thương hiệu miền tùy chỉnh cấu hình vào.

Vào ngó test coi, quả nhiên giao diện chôm từ bỏ aiesec-unwe.net qua, thậm chí là dòng hình ảnh sản phẩm JUNO_OKYO trên góc trái của chính bản thân mình vẫn còn đó giữ nguyên chưa biến đổi.


*

Cũng chưa có gì đáng nhằm bàn đến lắm, mình bỗng nhiên tất cả chút ít tò mò và hiếu kỳ về mẫu extension này chuyển động ra làm sao, vì chưng trước đó tôi đã biết về một extension khác với tên là Old Layout cùng với thuộc chức năng chuyển giao diện mới của Facebook về đồ họa cũ. Mình biết Old Layout chuyển động bằng cách biến hóa User-Agent của trình phê chuẩn rồi, bắt buộc tự nhủ trong đầu rằng “dòng Old XXX này vận động dựa vào đồ vật gi ta?”. Thế là thừa nhận luôn nút thứ nhất, dòng extension này chưa có phương diện trên Chrome Store yêu cầu người sáng tác vẫn nhằm links thiết lập tệp ZIP đã được nén về. Tốt thôi, ta sẽ tiện lợi rộng để ngó qua mã nguồn.

Giải nén ngừng, bản thân mlàm việc ngay lập tức tệp tin trước tiên trong thỏng mục: “background.js”.

Ttránh ạ, ra là vậy! Hóa ra không chỉ có xào luộc đồ họa website, tới mẫu extension cũng chỉ là chôm mã nguồn từ Old Layout với thay tên thành extension new, dựng website bắt đầu rồi kiếm người tiêu dùng. Mình nhận thấy ngay vày mình đã ngó qua extension Old Layout Khi nó new trình làng. Để kiểm chứng, đây là hình so sánh 2 file “background.js” (Old Layout sinh hoạt mặt trái).

Xem thêm: Tuyến Sữa Phụ Ở Nách - Cắt Bỏ Tuyến Vú Phụ Ở Nách Nên Hay Không


*

Nlỗi các bạn thấy kia, tệp tin background.js của cả hai extension này chẳng có gì không giống nhau cả.

Chưa hết!! lúc msống tiếp file manifest.json – nếu như khách hàng không biết thì đó là file khai báo đọc tin, quyền hạn của extension – bản thân đã nhận được ra có sự biệt lập thân 2 extension.


*

Extension “xịn” (Old Layout) chỉ “xin” 3 quyền, trong những khi extension “rỏm” thì xin thêm rất nhiều 6 quyền new. Để làm cho chi ta?? Không đầy đủ vậy, extension rỏm còn đề xuất được vận động sinh sống cả chế độ ẩn danh! “Ckhông còn thiệt, nhỡ người ta coi phlặng bị lưu lại links thì sao?” – :chim-cánh-cụt:.

Mlàm việc tiếp tệp tin options.js, mình không thấy bao gồm gì xa lạ, à thì… cũng không tồn tại gì không giống file options.js của extension xịn. Nhưng tới tệp tin popup.js, mình đột xem xét là extension xịn có tác dụng quỷ quái gì gồm file này. Hmm… tất cả nào đấy tốt ho phía trên.

Mngơi nghỉ tệp tin lên, đtràn lên đôi mắt bản thân là 1 trong những đống hẩu lốn phần nhiều tên miền nào đấy. Nhìn số chiếc code, tệp tin này lên đến mức 84đôi mươi dòng. Kéo luôn luôn xuống cuối thì sản phẩm công nghệ “hay ho” xuất hiện:


Giải ưng ý cho mình làm sao chưa biết đến, hàm bên trên đã đem toàn thể cookies, rồi kiểm tra xem có cookie như thế nào được tạo thành đến thương hiệu miền “.facebook.com” hay là không, nếu gồm thì gửi cookie này về Database (các đại lý dữ liệu).

Haông xã ngược vào Database của kẻ tấn công

Đây là phần hấp dẫn nhất của nội dung bài viết, nếu như bạn làm sao còn lưu giữ thì đây không phải là lần đầu bản thân làm chuyện này (xem lại bài đối chiếu và “haông xã ngược” năm 2017).

File popup.js nghỉ ngơi bên trên được nhúng vào popup.html thuộc những thư viện nhằm liên kết cùng với Database (DB), bản thân biết rõ là rất có thể lợi dụng vấn đề này để gửi các tróc nã vấn khác tới DB. Ngay lập tức, bản thân tạo một làm hồ sơ bắt đầu bên trên Chrome (để bảo đảm an toàn đến thông tin tài khoản của chính mình thì làm hồ sơ new đã y hệt như sandbox vậy). Cài extension kia vào hồ sơ new rồi dấn con chuột nên vào biểu tượng extension > chọn Inspect popup (hào kiệt này hệt như các bạn Inspect element trên các website ấy, cơ mà tính năng này thì dành cho Việc debug extension).

DevTools thần thánh hiện lên, mình chuyển hẳn qua tab Console, gõ nhì chữ thân thiết “db” > ENTER. Vì sao là “db” thì bạn chăm chú xem lại ảnh sinh sống bên trên nhưng mình chụp flie popup nhé.


Đúng nhỏng hiệu quả mình mong muốn ngóng, phát triển thành này truy cập được tự “global” và mình hoàn toàn có thể Gọi các cách làm bạn thích bằng DevTools nhằm gửi truy hỏi vấn tới DB. Thực ra thì tất cả không như mong muốn đợi bọn họ đang dần cầm cố trong tay mã nguồn mà. cũng có thể sửa khoảng vực của trở nên thoải mái và dễ chịu (khoảng vực là phạm vi đổi thay vận động vào một cmùi hương trình).

Giờ thì, dựa trên tay nghề thao tác làm việc cùng với loại DB này trước đây (mình từng dùng một số loại DB này hồi 2014-2015 Khi làm cho trang “get link phyên ổn Nhật”), bản thân lập cập truy tìm vấn demo để đánh giá xem hoàn toàn có thể hiểu record từ bỏ DB hay không.


Rồi chấm dứt, thanh khô niên này dường như không thông số kỹ thuật luật lệ bảo mật thông tin để phân quyền đọc DB, khiến cho bất kể người nào cũng có quyền truy cập vào DB này. Mình tức thì chớp nhoáng msống Sublime lên code nkhô giòn một lịch trình để quản lý DB dựa vào công bố cấu hình nhúng trong extension cùng các câu tróc nã vấn mà mình đã biết tự ngày xưa lúc làm việc cùng với nó. Kết quả:


Đây là tổng thể cookie cơ mà kẻ xấu vẫn chôm được của người dùng, bản thân viết thêm một hàm bé dại để bóc tách tách ID người tiêu dùng tự cookie để hiểu ai hiện giờ đang bị tấn công.

Kết luận

Qua bài viết sau, mình muốn gửi lời lưu ý tới phần lớn tín đồ tránh việc vị muốn sử dụng giao diện cũ của FB cơ mà setup tùy nhân tiện những extension từ bỏ những người ko xứng đáng tin, đây là nguy hại cao dẫn tới việc mất thông tin tài khoản FB của người sử dụng. Chia sẻ nội dung bài viết này tới người thân trong gia đình với bạn bè để thuộc cảnh giác nhé!

Trên aiesec-unwe.net Community đã và đang gồm một bài bác trả lời bí quyết gửi về giao diện cũ mà bạn không cần tải gì cả.

Như vậy là chỉ còn việc bị người không giống thực hiện mã Google Analytics, mình đã truy nã vệt cùng lần ra cả một chiến dịch tấn công người dùng FB dựa vào ham mong mỏi thực hiện giao diện cũ của hồ hết tín đồ. Và mình tin, kẻ tấn công tới từ toàn quốc. Tại sao à? Hãy nhìn vị trí tên miền được đăng ký: