通过网易云分享链接获取分享者账号
起因
之前有发过一次音乐的分享链接,但是当复制分享链接后,熟悉一点点网安知识的我敏锐的突然发现链接后面居然带着一个userid参数,例如随便挑一首歌曲然后复制分享链接:
会得到以下结果:
1 | |
前面的id应该是歌曲的 id,后面的userid或许就是分享者的 id了。为了验证是否是这样,接下来要找到userid和用户名的对应关系。因此想到可以在网页版网易云中访问自己的主页,果然发现了同样的userid。
但是如果是直接发到空间或者朋友圈的分享,会不会带有这个userid参数呢?随机挑了朋友圈中一个人的分享尝试了一下,之后用 Safari 打开,果然在地址栏中也看到了userid参数。接下来,进入自己的主页,将自己主页后面的/#/user/home?id=*********中的*********换成上述,成功进入对方的网易云主页,发现了用户名。
实现步骤
- 点开某个人的分享链接
- 用浏览器打开,获取分享链接后的 userid
- 访问自己的网页版主页
- 将自己的主页后的userid换成某个人的 userid
- 这样就进入了对方的主页了...
结论
所以可以看出,网易云也存在一定的隐私保护问题,不过可能也许在一开始进入 APP 的那个很长一堆的用户条款里说了吧。但是还是要注意来自分享链接的隐私保护,不知道能不能设置主页权限之类的。以及上图浏览器后面还有一个from=timeline后面的一堆,是微信自己附带上的,用来标注访客的来源。这种分享链接涉及到的隐私问题同理说不定也可以推广到 QQ 音乐或者其它的各种平台。
如果在意隐私保护,以后可以去掉分享链接后的 userid 这个参数。