• 浏览器自己主动填表安全漏洞:查看浏览器保存的password


            我通常会使用浏览器保存自己的帐号和password,下次登录就无需又一次输入,很方便。而像傲游这种浏览器还提供了自己主动同步功能,让我一个傲游帐号。就带着互联网上全部帐号password去旅行。

            昨天我忽然在想。全部浏览器都说自己非常安全,加密非常到位,可以有效保证帐号password的安全,但事实是否真的如宣传的那样靠谱?

            简单一试,果然就发现了漏洞。IE、Chrome、QQ浏览器、傲游浏览器、搜狗浏览器……总之,我试验过的全部可以通过按“F12”调出开发人员工具的浏览器。都有这个安全漏洞…


            如今进入正题,我们以谷歌Chrome浏览器登录百度为例。

            1、打开Chorme,进入相应的登录框。

    因为之前保存了帐号password,因此浏览器会帮你自己主动填写。

            2、按“F12”,调出浏览器的开发人员工具,接下来请參考图片上的说明,按下面步骤进行操作:

                    ①选择元素选取工具;

                    ②把鼠标移动到password框上方。password框被自己主动选中变为高亮,点击一下password框就可以确认选中;

                    ③你会发现,网页源码中也有一段代码被自己主动高亮。这就是password框相应的网页元素。在“id”标签的内容上双击。将内容复制下来。

                (为了节约版面。以下这张图是由多张截图合成的,与实际显示有所不同,但不影响结果)

            3、继续參考图片说明。运行下面步骤:

                    ①切换到“Console”选项卡。即控制台;

                    ②输入命令 document.getElementById(" 刚才复制的password框id ").value 。并按回车运行;

                    ③从控制台的输出中。获取password,注意password不包括两端的引號。



            怎么样,是不是很很easy?不论什么一个懂点 JavaScript 的人都知道这个漏洞发现得实在是太没有技术含量了。然而最令人担忧的就是,假设不论什么一个人,都可以通过我这样几张图片。就简简单单地学会。那以后是否还可以放心地把自己的电脑交给别人使用呢?要知道。熟练的话,这个步骤完毕起来不须要10秒…

            有漏洞怎么办?想办法补呗。我自己大概想到的几种解决措施:

            浏览器方面:

                    1、自己主动填写登录表单时,password框先採用随机字符,待用户发送登录请求时再填入真实password,这种话。用上面的方法就仅仅能查询到错误的password

                    2、来我大深信服(深圳市深信服电子科技有限公司)挖几个安全攻防project师。提升下安全水平……o(∩_∩)o 没错。我在给公司打广告……

            用户方面:

                    1、打死不能用浏览器保存重要的帐号password。比方网银,这个不能偷懒。

                    2、要有自己的多套password:

                             ①在腾讯、网易一类比較信任的站点。用自己最经常使用的password;

                             ②在CSDN等比較可信的站点,使用第二套password。

                             ③在一些纯粹为了下载点资源而注冊的站点,或是无名站点,使用一套能够昭告天下的password。

                          这样就算有一家站点卖了你的资料,或是被黑客攻击,也不至于全盘沦陷。

                     3、尽量不要把自己的电脑借给别人使用…


            本人是还没毕业的本科应届生,对前端的知识了解非常浅,文章必有错漏之处。还望大神指正。

  • 相关阅读:
    线程原理 创建方式
    Chapter17 【异常、线程】
    驱动
    java中Super到底是什么意思
    Java 8后的首个长期支持版本Java 11
    OpenJDK和JDK区别
    异常
    模拟斗地主洗牌发牌
    Debug追踪
    Python 垃圾回收机制详细
  • 原文地址:https://www.cnblogs.com/liguangsunls/p/7363483.html
Copyright © 2020-2023  润新知