采集目標(biāo)瀏覽器指紋的方法很多，而采集擴(kuò)展指紋也大同小異。確定目標(biāo)安裝了什么擴(kuò)展非常重要。只有這樣，攻擊才能更直截了當(dāng)，并能排除不確定性。

研究人員找到了很多枚舉目標(biāo)可能會(huì)使用的擴(kuò)展的方法。擴(kuò)展并不會(huì)隱瞞它們會(huì)增大瀏覽器攻擊面的事實(shí)。事實(shí)上，有些擴(kuò)展還會(huì)主動(dòng)告訴你。接下來(lái)南昌網(wǎng)絡(luò)公司小編就為大家介紹一下使用HTTP 首部采集指紋檢測(cè)拓展的方法。

有的擴(kuò)展可能會(huì)稍微修改一點(diǎn)請(qǐng)求首部，而有的擴(kuò)展則生怕別人不知道瀏覽器安裝了它們，對(duì)請(qǐng)求首部進(jìn)行重度定制。為了采集擴(kuò)展指紋，我們需要通過(guò)檢測(cè)目標(biāo)擴(kuò)展，來(lái)確定請(qǐng)求首部是否被修改過(guò)。

為了看出修改，可以捕獲安裝擴(kuò)展前后的請(qǐng)求首部加以比較。一比較就能看出不同。別忘了，有些擴(kuò)展只有激活才會(huì)有所不同。下面我們即將展示的FirePHP的例子就是這樣的。

另一種檢測(cè)首部變化的方法是查詢擴(kuò)展源代碼。當(dāng)然，只有Firefox和Chrome擴(kuò)展是可以查看源代碼的，因?yàn)樗鼈兊陌惭b文件只是簡(jiǎn)單的包含代碼的壓縮.zip文件。

對(duì)于Chrome擴(kuò)展，某個(gè)視圖頁(yè)面(通常是后臺(tái)頁(yè)面)會(huì)動(dòng)態(tài)修改請(qǐng)求首部。應(yīng)該搜索chrome.webRequest.onBeforeSendHeader函數(shù)調(diào)用。使用這個(gè)API需要webRequest權(quán)限，因此首先應(yīng)該檢測(cè)manifest.json文件，看看是否請(qǐng)求了該權(quán)限。如果沒(méi)有，那么onBeforeSend Headers函數(shù)存在與否就無(wú)所謂了。

另一種在Chrome擴(kuò)展中注入自定義首部的方式是在內(nèi)容腳本里。就是使用標(biāo)準(zhǔn)的XMLHttp Request.setRequestHeader函數(shù)發(fā)送Ajax請(qǐng)求。搜索這個(gè)函數(shù)也有助于發(fā)現(xiàn)擴(kuò)展是否在操縱瀏覽器首部。

對(duì)于Firefox擴(kuò)展，搜索setRequestHeader可以找到修改請(qǐng)求首部的位置。在下面的FirePHP代碼中，可以看到該擴(kuò)展修改了User-Agent請(qǐng)求首部：

httpChannel.setRequestHeader("User-Agent",

httpChannel.getRequestHeader("User-Agent") + ' '+

"FirePHP/" + firephp.version, false);

這行代碼讓FirePHP擴(kuò)展在User-Agent請(qǐng)求首部后面追加了FirePHP/，從而表明自己的可用性。正如下面的請(qǐng)求首部所示，要發(fā)現(xiàn)這一點(diǎn)非常容易：

GET / HTTP/1.1

Host: browserhacker.com

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0 FirePHP/0.7.1

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

前面Firefox瀏覽器在請(qǐng)求中發(fā)送給Web服務(wù)器的HTTP首部被修改了。User-Agent首部字符串后面有FirePHP/0.7.1。這里，不僅可以看到用戶安裝了擴(kuò)展，還知道了擴(kuò)展的版本。

以上就是南昌網(wǎng)絡(luò)公司小編為大家介紹的關(guān)于使用HTTP 首部采集指紋檢測(cè)拓展的方法，檢測(cè)拓展的方法不止這一種，還可以用其他方法檢測(cè)，不過(guò)今天小編就不多做介紹了，感興趣的朋友歡迎繼續(xù)關(guān)注本公司網(wǎng)站動(dòng)態(tài)，后期會(huì)為您詳細(xì)介紹。此外，有想了解關(guān)于南昌網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)等方面的知識(shí)的朋友，可隨時(shí)來(lái)電和我們聯(lián)系，我們將竭誠(chéng)為您服務(wù)!