下午好,又是奋斗的一天。
登录注册
2022-07-18 21:43:32

给极狐 GitLab SaaS 安装百度统计代码统计仓库访问量

给极狐 GitLab SaaS 安装百度统计代码统计仓库访问量

首先,声明我这个方法是利用了一个不是漏洞的漏洞做到的,官方随时可能修复导致失效,在极狐 GitLab SaaS 上线之前我就已经反馈给了官方:https://jihulab.com/gitlab-cn/saas-feedback/-/issues/10,但可能似乎没什么危险就搁置了,那我们就可以利用这个不算什么漏洞的漏洞做点什么。

给极狐 GitLab SaaS 安装百度统计代码统计仓库访问量

不是漏洞的漏洞

我先解释一下这个不是漏洞的漏洞是咋回事,就是咱们在 README.md 的自述文件中可以引用图片,然后当其他用户访问的时候,浏览器就会去访问这个图片地址,那我们可以给这个图片地址加点“调料”,比如我们自己自建一个统计系统,然后把图片地址改为我们自己的统计系统,这样用户访问的时候就会被动的、并且是无感知的访问我们的资源。

当用户请求我们的资源时,我们作为服务器端可以获得用户的访问时间、用户的IP地址(间接获得省市地址)、使用的浏览器UA。

百度统计的原理

本文不是讲百度统计,所以不多说,只说必须的知识。

百度统计的代码原理,其实就是在我们的页面上通过JS插入了一个假图片,然后通过 get 请求参数进行传参,其实就是请求这个假图片地址:https://hm.baidu.com/hm.gif 。

然后它有N多个参数,但极狐 GitLab SaaS 页面有转义来防止 XSS 攻击,所以我们无法运行 JS 代码,很多参数都抓取不到,所以其他参数我就不介绍了,但有一个固定的参数si,也就是我们的百度统计网站id:https://hm.baidu.com/hm.gif?si=6eae1f418a89e09bdc11501c4774ed35

给极狐 GitLab SaaS 安装百度统计

我们了解了这个不是漏洞的漏洞,还有百度统计的基本运行原理,然后加以利用,在我们项目的 README.md 自述文件中引用这个百度统计假图片,下面是 Markdown 语法,当然 html 也行:

![BaiduTongji](https://hm.baidu.com/hm.gif?si=6eae1f418a89e09bdc11501c4774ed35)

这样一来,只要有人访问了我的项目首页,我就可以在百度统计中看到,访问的IP数、UA数、PV数、地域分布、访客浏览器、新老访客比例。

百度统计用户画像百度统计用户画像百度统计用户画像

其他平台行不行

也许你也想如法炮制,去其他的平台上试试,不过,目前 Github、Gitlab 这两大平台都会替换 README.md 自述文件中引用的图片地址为自己的导致失效,其他的平台可能也存在这个不是漏洞的漏洞,加以利用,最后,祝各位玩得开心。


关于极狐GitLab 的101件你想说的事 101 创作营:https://gitlab.cn/jihulab101

评论与留言

以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!
微信订阅号
扫码关注「任霏博客」微信订阅号
反馈与讨论
感谢您的关注与反馈
如果您发现了BUG、安全漏洞、或者希望讨论技术内容,请点击下方链接对我进行反馈。
feedback