Google Analytics通过客户在其网站上放置的客户端JavaScript来跟踪用户。正如安全社区所熟知的那样,客户端输入不可信任。
所以,我想知道是什么阻止了以下事件发生:
我能想到的唯一可能的保护措施是基于HTTP标头和IP地址速率限制,每个都可以通过篡改标头和使用代理来避免。
我问,因为我正在考虑编写类似的客户端跟踪JavaScript。但考虑到所有安全漏洞,我开始想知道为什么有人使用或信任客户端跟踪开始。
答案 0 :(得分:9)
是的,攻击者可以操纵发送到Google服务器的请求。
我不知道Google会采取什么措施来防止这种情况发生。没有一种好方法可以防止这种行为。
那么为什么用户仍然信任GA?恶意攻击者可以欺骗所有请求标头,但不能欺骗IP地址。因此,即使报告显示大量流量,您也会很快发现它们来自同一个IP地址。换句话说,折扣额外的流量是微不足道的。
当然有人可以从遍布全球的几台机器上进行攻击。然后,您将看到来自各地的虚假流量。您仍然可以通过过滤用户代理或其他http标头或其他恶意脚本特有的“签名”等内容来捕获恶意流量。
你会说“但有人可以编写一个像HTTP标头一样模拟现实生活的脚本”。当然。但这提高了标准。您正在谈论可以访问全世界数百台计算机的人,可以编写可以工作几个月的脚本来欺骗您,并且可以生成足够随机的数据,以便您无法过滤任何一个属性。
那些坚定的人能够而且会有他的方式。