通过博客园站内信,有很多人私信我,是怎么获取到那么多隐私信息,让我传授给他方法,以便窥探别人的隐私。
这这里统一说明一下,我们的系统都是基于用户授权登录模式开发的,就是用户勾选同意服务协议 + 用户提交账号密码验证码的方式,如果你不存在这个场景,没有大量用户心甘情愿提交账号 密码或者扫码,那是没有用的。
1、首先要开发一套三方网站的登录系统,这个是非常非常复杂的关键一步,基本上绝大部分开发时间都要花在这个上面,这一关过后拿到用户的隐私数据就轻而易举了,后面要做的任务就简单很多。具体难点是 例如微信 淘宝 支付宝 京东 这些都是国内top10的网站,即使用户提交了正确的用户名密码,也很难使用模拟接口登录,难点原因包括接口请求太多,分析太难,还有加密,还有不可交互的验证码,和多次验证不正确出现账号锁定,大批量用户授权登录ip限制,异地登陆被三方网站抛出异常检测等等。所以这一步是非常复杂,需要有耐心来分析接口和处理一些交互情况和ip不稳定情况,这些解决后,再使用微服务加异步非阻塞方式开发接口。如果登录不了就拿不到数据,所以这一步既是复杂又是关键。
2、即使你开发了这套系统,用户必须有好处,或者说他不授权登录对他有坏处,这样才会有用户愿意暴露隐私同意授权登陆。具体到我们就是,想贷款就要让我们知道你在各大与信用有关的网站的信息,用户不同意授权登录,那就不能贷款了,所以这是对用户有好处的场景。
3、有人问怎么做到不需要密码,就拿到别人的隐私?我的方式不是这样的方式,我的方式是必须用户授权的方式。用脑袋想就能知道,我要是能不需要密码就拉倒别人的隐私,直接登上了别人的支付宝 微信,我专门盗号转账不是更好了,那还需要辛苦工作干嘛。
而且,即使是找到了漏洞,可以不需要密码就能大量的偷窥别人的隐私,没有经过用户的同意,你这么做那是违反宪法的,需要坐牢!