快捷导航
5 11815

自动填写表单有风险吗?

Winnie 于 2014-10-29 16:59 发表 [复制链接]
本帖最后由 Winnie 于 2014-10-29 17:22 编辑

使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权。
不过,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?
分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。
要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?
保存着的密码仍能自动填上,并且可被脚本访问到!
如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。
不过,即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。
由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次。
https://buy.wosign.com/
人生短短几十年,想笑就笑,想哭就哭,不要给自己留下什么遗憾。
举报 使用道具
| 回复

共 5 个关于自动填写表单有风险吗?的回复 最后回复于 2014-10-29 17:59

Winnie 版主 发表于 2014-10-29 17:00:48 | 显示全部楼层
全站SSL,最简单最经济的 解决方案
https://buy.wosign.com/
人生短短几十年,想笑就笑,想哭就哭,不要给自己留下什么遗憾。
举报 使用道具
cs8@love 中级会员 发表于 2014-10-29 17:01:01 | 显示全部楼层
这个真心有用,平常经常有使用这个功能
举报 使用道具
cs9@-110 中级会员 发表于 2014-10-29 17:17:44 | 显示全部楼层
网站安全很重要。部署ssl证书,保证数据加密传输。
举报 使用道具
cs7@-666 中级会员 发表于 2014-10-29 17:27:48 | 显示全部楼层
信息安全特别重要,不要当全透明的人
举报 使用道具
Jacky6100 中级会员 发表于 2014-10-29 17:59:20 | 显示全部楼层
以后上网登录以希望平台尤其要注意啦,一定要有锁的才去注册登录
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表