欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

自动填写表单有风险吗?

程序员文章站 2022-07-04 09:48:33
...
使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?
  分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。

 

自动填写表单有风险吗?
            
    
    博客分类: 数字证书 ssl数字证书加密cookie 
要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?

 

自动填写表单有风险吗?
            
    
    博客分类: 数字证书 ssl数字证书加密cookie  保存着的密码仍能自动填上,并且可被脚本访问到!
如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。可是即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。

 

自动填写表单有风险吗?
            
    
    博客分类: 数字证书 ssl数字证书加密cookie  由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次