Esiste un modo per scoprire quali informazioni sul sito web ci interrogano? [chiuso]

3

Quale strumento o software dovrei cercare per scoprire quali dati "fingerprinting" un sito Web sta monitorando?

Come, voglio sapere, se il sito cerca una cache e / o caratteri installati nel sistema, o Canval, metodi WebGL. C'era un grande progetto che lo chiamava "OpenWPM" scritto in python, usato per tenere traccia di tutte quelle cose con il driver Mozilla e memorizzarlo in un database SQL con un'organizzazione abbastanza ordinata dei dati.

Ho provato a cercare OWASP Red Attack ZAP Proxy, ma è uno strumento per trovare le vulnerabilità, non i dati, ciò che voglio. Ci sono molti plugin per OWASP ma non so quali usare.

    
posta Anton 20.08.2018 - 17:14
fonte

1 risposta

2

No, non c'è. Mentre è possibile eseguire l'impronta possibile fornendo attivamente al browser una risorsa che consenta il rilevamento delle impronte digitali, è anche possibile imprimere un'impronta digitale a un cliente interamente passivamente. Ad esempio, l'ordine specifico in cui vengono trasmesse le intestazioni client fornisce il client Web che si sta utilizzando. Anche se si spoofing varie intestazioni come accettare la codifica e l'agente utente, si sta ancora dando via l'ordine delle intestazioni, che a sua volta rende possibile il fingerprinting del browser passivo. Un altro esempio è l'analisi del comportamento del client durante il recupero delle risorse. In quale ordine recupera le risorse? Quanti ne recupera in parallelo? Tutti questi dati vengono inviati di routine a qualsiasi server Web a cui ci si connette e non è possibile sapere se viene utilizzato per scopi di impronte digitali.

È è possibile rilevare se vengono effettuati determinati tentativi di impronte digitali esplicite e attive, ad esempio fingerprinting di AudioContext o, come è stato fornito come esempio nella domanda, impronte digitali basate su WebGL, ma rilevare questo sarà non ti consente di concludere che il sito Web non è impegnato in attività di rilevamento delle impronte digitali. Inoltre, ci saranno numerosi modi per raccogliere queste informazioni in modo nascosto in un modo che sembra innocente al rilevamento automatico. Per quanto riguarda il software specifico che è in grado di fare ciò, le raccomandazioni esplicite sul software sono fuori tema qui (e non conosco alcun software specifico che possa comunque rilevarlo).

Puoi controllare AmIUnique , un sito Web proof-of-concept che utilizza una varietà di tecniche di fingerprinting, sia attive che passive, identificare univocamente un sistema. Utilizza non solo tecniche primitive come le impronte digitali UA, ma anche tecniche più avanzate come il fingerprinting WebGL e AudioContext, l'enumerazione dei caratteri, le dimensioni della finestra del browser, ecc.

    
risposta data 01.09.2018 - 01:31
fonte