漏洞概述 OpenBlow 存在多个匿名化漏洞,主要问题包括: 1. 强制使用 Google reCAPTCHA:匿名提交流程必须通过 Google reCAPTCHA 验证,导致泄露提交者的 IP 地址、浏览器指纹和匿名站点信息。 2. 加载第三方字体:从 fonts.gstatic.com 加载字体,进一步泄露用户信息。 3. 缺少安全策略:未设置 Content-Security-Policy 和 Referrer-Policy,允许跨域加载。 影响范围 机密性:高(通过第三方 IP/指纹和站点身份泄露匿名来源) 完整性:无 可用性:低(reCAPTCHA/Tor 摩擦可能阻止合法匿名提交) 修复方案 1. 禁用 Google reCAPTCHA:使用离线、第一方 CAPTCHA。 2. 移除第三方资源:自托管所有字体和资产,移除 fonts.gstatic.com 等第三方资源。 3. 部署严格的安全策略:设置 Content-Security-Policy 和 Referrer-Policy,防止跨域加载。 POC 代码