自动填写表单有风险吗?
2014-10-30 11:22
260 查看
使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?
分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。
要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?
保存着的密码仍能自动填上,并且可被脚本访问到!
如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。可是即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。
由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次
分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。
要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?
保存着的密码仍能自动填上,并且可被脚本访问到!
如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。可是即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。
由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次
相关文章推荐
- 自动填写表单有风险吗?
- 自动填写表单存数据泄露风险
- 自动填写表单有风险吗?
- 自动填写表单有风险吗?
- 使用WebClient自动填写并提交ASP.NET页面表单
- vc遍历网页表单并自动填写提交
- vc遍历网页表单并自动填写提交
- 使用WebClient自动填写并提交ASP.NET页面表单
- javascript实现自动填写表单实例简析
- 使用WebClient自动填写并提交ASP.NET页面表单 (zt)
- 使用WebClient自动填写并提交ASP.NET页面表单的源代码
- 自动填写表单基本原理
- 使用WebClient自动填写并提交ASP.NET页面表单的源代码
- javascript 自动填写表单
- 以gmail为例,详细讲解C#技巧:网页表单自动填写技术
- javascript 自动填写表单的实现方法
- 禁止IE自动填写表单
- .net 火车头 ------表单(form)的自动填写和提交
- mfc 直接操作ie浏览器自动填写表单实例
- 我想在一个表单中操作“档案”表,但其中有“编号”和“名称”两拦,另有“编码”表有两者一一对应,请问怎样用sql在本表单中输入“编号”时,让“名称”拦自动填写?