Как узнать посетителя, если он очистил браузер и зашел под VPN

1. Антон Bo0oM Лопаницын
Tracking

2. Основные параметры браузера
• Время
• Язык
• Расширение экрана и его ориентация
• Конечно же User-agent

3. Окружение браузера
• Platform
• Vendor
• Тип оборудования
PFFF

4. Окружение браузера
• Battery Status API
• Web Audio API
• Network Information API
• Network Information API
• bluetooth, usb, и др.

5. Battery Status API
• Тип питания
• Процент остатка заряда батареи
• Оставшееся время до разрядки

6. Web Audio API
• Количество каналов
• Частота звука

7. Прочие параметры
• Возможность вибрации
• Акселерометр
• Поддержка multi-touch
• Работа с медиа
• Поддержка геймпада/bluetooth/usb
• Возможность интеграции стороннего поиска
• Поддержка уведомлений
Куча их

8. Плагины браузера
• Название
• Версия
• Список поддерживаемых типов мультимедиа

9. Canvas
• Разные шрифты
• Разные алгоритмы сглаживания
• Настройка теней
• Процессор, видеокарта

10. WebGL
• Поддержка технологий
• Тип рендера
• Глубина цвета
• Параметры шейдеров
• Максимальные текстуры
• Размер буфера
• webgl_debug_renderer_info

11. WebRTC
• Его параметры
• Локальный IP

12. Использование сторонних приложений
• Silverlight
• Java
• Flash

13. Хранилища
• Session Storage
• Local Storage
• Global Storage
• Database Storage via SQLite
• IndexedDB

14. Механизмы кэширования
• ETags
• window.name caching
• CSS History Knocking

15. HSTS
• Специальный заголовок, в котором браузер
запоминает, что заходить на этот ресурс нужно
только по https
• Делается это передачей специального заголовка
сайту - Strict-Transport-Security
• Strict-Transport-Security ставится на время, которое
указано в заголовке

16. Пользователь Вася – посетитель сайта.
Он уже зашел в наше веб-приложение, у него есть
идентификатор сессии.
Этот идентификатор можно дополнительно
«прошить» в браузере

17. Устанавливаем ключ
Пользователю присваивается уникальный ключ
(для примера af90), и его перенаправляет на
поддомен.

18. Устанавливаем ключ
В это время браузер сам запрашивает favicon,
ответ которого перенаправляет на поддомены, с
каждым запросом убирая по одному байту
ключа.

19. Устанавливаем ключ
При посещении каждого из поддоменов
устанавливается заголовок HSTS
Strict-Transport-Security: max-age=300 (5 минут)

20. Если пользователь посещает сайт в инкогнито
Логика простая
• Если пользователь посещает домен hsts.pro его
перенаправляет на поддомен без https [0-f].hsts.pro
• Если пользователь заходит по https, к поддомену
добавляется новая буква.

21. Восстанавливаем ключ
0.hsts.pro – https, добавляем новый байт
00.hsts.pro – http
10.hsts.pro - http
20.hsts.pro - http
...
80.hsts.pro - http
90.hsts.pro – https, добавляем новый байт
090.hsts.pro – http
190.hsts.pro – http
…
e90.hsts.pro – http
f90.hsts.pro – https, добавляем новый байт

22. Восстанавливаем ключ

23. HSTS Super Cookie

24. HSTS Super Cookie

25. Why not?
• Сканирование открытых портов
• Сканирование внутренней инфраструктуры (например
детектирование роутера)

26. Why not?
• Проверка, на каких сайтах авторизован пользователь

27. Бот или не бот?
• Классическая JS нагрузка
• Использование SSL библиотеки и ее настроек для
установки SSL соединения*
• Используемая версия протокола HTTP

28. Бот или не бот?
• Порядок заголовков и вообще какие заголовки есть*
• Особенности разбора html в браузерах**
**(например <svg><script xlink:href="data:,alert(1)"/></svg> -
выполнится в firefox, а в других браузерах – нет)

29. p0f
http://lcamtuf.coredump.cx/p0f3/

30. Используется ли VPN?
http://witch.valdikss.org.ru/

31. LINKS
• https://github.com/samyk/evercookie
• https://github.com/Valve/fingerprintjs2
• https://github.com/p0f/p0f
• https://github.com/ValdikSS/p0f-mtu
• https://github.com/RobinLinus/socialmedia-leak

32. СПАСИБО
ЗА ВНИМАНИЕ!
https://t.me/webpwn
https://youtu.be/dQw4w9WgXcQ
https://twitter.com/i_bo0om