码迷,mamicode.com
首页 > 其他好文 > 详细

自动填写表单有风险吗?

时间:2014-10-30 15:36:09      阅读:244      评论:0      收藏:0      [点我收藏+]

标签:https   ssl   自动填写表单   

    使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?
  分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。


bubuko.com,布布扣 

要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?


    bubuko.com,布布扣 保存着的密码仍能自动填上,并且可被脚本访问到!

如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。可是即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。


bubuko.com,布布扣 

由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次


自动填写表单有风险吗?

标签:https   ssl   自动填写表单   

原文地址:http://rezark.blog.51cto.com/9341968/1569582

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!