浏览器自己主动填表安全漏洞:查看浏览器保存的password - liguangsunls
浏览器自己主动填表安全漏洞:查看浏览器保存的password
我通常会使用浏览器保存自己的帐号和password,下次登录就无需又一次输入,很方便。而像傲游这种浏览器还提供了自己主动同步功能,让我一个傲游帐号。就带着互联网上全部帐号password去旅行。
昨天我忽然在想。全部浏览器都说自己非常安全,加密非常到位,可以有效保证帐号password的安全,但事实是否真的如宣传的那样靠谱?
简单一试,果然就发现了漏洞。IE、Chrome、QQ浏览器、傲游浏览器、搜狗浏览器……总之,我试验过的全部可以通过按“F12”调出开发人员工具的浏览器。都有这个安全漏洞…
如今进入正题,我们以谷歌Chrome浏览器登录百度为例。
1、打开Chorme,进入相应的登录框。
因为之前保存了帐号password,因此浏览器会帮你自己主动填写。
2、按“F12”,调出浏览器的开发人员工具,接下来请參考图片上的说明,按下面步骤进行操作:
①选择元素选取工具;
②把鼠标移动到password框上方。password框被自己主动选中变为高亮,点击一下password框就可以确认选中;
③你会发现,网页源码中也有一段代码被自己主动高亮。这就是password框相应的网页元素。在“id”标签的内容上双击。将内容复制下来。
(为了节约版面。以下这张图是由多张截图合成的,与实际显示有所不同,但不影响结果)
3、继续參考图片说明。运行下面步骤:
①切换到“Console”选项卡。即控制台;
②输入命令 document.getElementById(” 刚才复制的password框id “).value 。并按回车运行;
③从控制台的输出中。获取password,注意password不包括两端的引號。
怎么样,是不是很很easy?不论什么一个懂点 JavaScript 的人都知道这个漏洞发现得实在是太没有技术含量了。然而最令人担忧的就是,假设不论什么一个人,都可以通过我这样几张图片。就简简单单地学会。那以后是否还可以放心地把自己的电脑交给别人使用呢?要知道。熟练的话,这个步骤完毕起来不须要10秒…
有漏洞怎么办?想办法补呗。我自己大概想到的几种解决措施:
浏览器方面:
1、自己主动填写登录表单时,password框先採用随机字符,待用户发送登录请求时再填入真实password,这种话。用上面的方法就仅仅能查询到错误的password
2、来我大深信服(深圳市深信服电子科技有限公司)挖几个安全攻防project师。提升下安全水平……o(∩_∩)o 没错。我在给公司打广告……
用户方面:
1、打死不能用浏览器保存重要的帐号password。比方网银,这个不能偷懒。
2、要有自己的多套password:
①在腾讯、网易一类比較信任的站点。用自己最经常使用的password;
②在CSDN等比較可信的站点,使用第二套password。
③在一些纯粹为了下载点资源而注冊的站点,或是无名站点,使用一套能够昭告天下的password。
这样就算有一家站点卖了你的资料,或是被黑客攻击,也不至于全盘沦陷。
3、尽量不要把自己的电脑借给别人使用…
本人是还没毕业的本科应届生,对前端的知识了解非常浅,文章必有错漏之处。还望大神指正。