自动填写表单有风险吗?
来源:互联网 发布:景观设计软件 编辑:程序博客网 时间:2024/04/28 01:53
使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?
分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。
分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。
要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?
保存着的密码仍能自动填上,并且可被脚本访问到!
如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。可是即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。
由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次
0 0
- 自动填写表单有风险吗?
- 自动填写表单有风险吗?
- 自动表单填写
- 自动表单填写
- 自动填写网页表单
- 自动填写表单基本原理
- 自动填写网页表单
- 使用Ajax自动填写表单
- 使用Ajax自动填写表单
- 模糊表单自动填写代码
- chrome 自动填写表单插件
- 使用RoboForm自动填写表单
- HTML form表单自动填写自动提交
- C#技巧:网页表单自动填写技术
- 网页操作之自动填写表单
- 关于自动填写表单的操作
- javascript 自动填写表单的实现方法
- selenium python --自动表单填写--学习笔记
- nodejs文件操作
- 根据文本内容设置单元格的行高
- java程序员如何面试成功拿高薪(一)
- jpg转换成pdf格式在线转换
- 综合意外险包含所有的意外风险吗?
- 自动填写表单有风险吗?
- Centos6.5源码编译安装Hadoop2.5.1
- 制作适合(不变形)手机浏览器显示格式的HTML页面
- 什么是GMS、CDMA、GPRS、EDGE、WCDMA、TD-CDMA、HSPA+、LTE?
- FBX、DAE模型的格式、导入与骨骼动画
- http协议
- WEB安全实战(一)SQL盲注
- HTTP POST GET SOAP本质区别详解
- swift 1: the basics