通过博客园站内信,有很多人私信我,是怎么获取到那么多隐私信息,让我传授给他方法,以便窥探别人的隐私。
为了不每次话很长时间都解释我运行模式,这里统一说明一下,我们的系统都是基于用户授权登录模式开发的,就是用户勾选同意服务协议 + 用户提交账号密码验证码的方式,如果你不存在这个场景,没有大量用户心甘情愿提交账号 密码或者扫码,那是没有用的。
1、首先要开发一套三方网站的登录系统,这个是最核心的非常非常复杂的关键一步,基本上绝大部分开发时间都要花在这个上面,这一关过后拿到用户的隐私数据就轻而易举了,后面要做的任务就简单很多。具体难点是 例如微信 淘宝 支付宝 京东 这些都是国内top10的网站,即使用户提交了正确的用户名密码,也很难使用模拟接口登录,难点原因包括接口请求太多,分析太难,还有加密,还有不可交互的验证码,和多次验证不正确出现账号锁定,大批量用户授权登录ip限制,异地登陆被三方网站抛出异常检测、各种登录状态都需要精确捕获让用户知道为什么登陆不成功等等。所以这一步是非常复杂,需要有耐心来分析接口和处理一些交互情况和ip不稳定情况,这些解决后,再使用微服务加异步非阻塞方式开发接口。如果登录不了就拿不到数据,所以这一步既是复杂又是关键。为了克服困难,部分项目还需要使用webview直接客户端登录的模式。授权登录系统需要接入金融系统,所以开发的这个项目必须相当稳健。
2、即使你开发了这套系统,用户愿意登录那对他必须有好处,或者说他不授权登录对他有坏处,这样才会有用户愿意暴露隐私同意授权登陆。具体到我们就是,想贷款就要让我们知道你在各大与信用有关的网站的信息,用户不同意授权登录,那就不能贷款了,所以这是一个对用户有好处的场景。
3、这种信息获取方式就一定可以知道用户的账号密码了,没有强大的企业品牌做背景,如果你是私人开发,别人不可能信任你。
4、有人问怎么做到不需要密码,就拿到别人的隐私?我的方式不是这样的方式,我的方式是必须用户授权的方式。用屁股想就能知道,我要是能不需要密码就拉倒别人的隐私,直接登上了别人的支付宝 微信,我专门盗号转账不是更好了,那还需要苦逼的上班干嘛。
而且,即使是找到了漏洞,可以不需要密码就能大量的偷窥别人的隐私,没有经过用户的授权同意,你这么做那是违反宪法的,需要坐牢!