浏览器记住密码的隐患

最新推荐文章于 2021-12-11 22:07:45 发布
最新推荐文章于 2021-12-11 22:07:45 发布
阅读量5.7k 收藏
点赞数 1
分类专栏: 安全技术 文章标签: 浏览器 autocomplete firefox ie passwords
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oneVs1/article/details/7346936
版权
 

当你在登录网站时,你是否习惯浏览器IE或者FireFox记住你的密码?即便是自己的个人电脑这样做也是很危险的,密码信息将很容易被他人窃取。

IE Passview 可以查看IE记住的所有密码.下载基地: http://www.nirsoft.net/utils/iepv.zip

运行IE Passview,你将看到IE中所有的被你记住的密码:

 

FireFox则可以不用第三方工具直接查看记住的密码. 点击菜单工具>选项,选择安全选项卡,选择记住密码按钮,点击显示密码按钮,你将看到所有的被你记住的密码:

工具能查看记住的密码,黑客和后门程序也能窃取你记录的密码。建议用户禁止浏览器记住密码的功能。

FireFox禁止记住密码:菜单工具>选项>安全选项卡中去掉记住密码的复选框。

IE 禁止记住密码:菜单工具>Internet选项>内容>自动完成旁的设置按钮. 去掉用户名和密码复选框。

 

 

从黑客的角度讲,保存的密码也是容易被窃取的。

方法一、包装IE Passview,IE Passview支持命令行参数,黑客可以把它包装一下,将其释放到用户机器上,调用它导出用户保存的密码,然后发送到黑客手中。

方法二、IE 密码加密保存方式是已知的:登录页面url做密钥,利用Data Protect API (DPAPI)加密用户密码,将加密的数据保存在注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2中。所以自己写程序也可以实现IE密码的导出。参考:http://www.passcape.com/internet_explorer_passwords

安全建议:

OWASP 建议网站设计者应该禁止浏览器保存用户登录密码,实现方法如下面的HTML 标签。

<INPUT TYPE="password" AUTOCOMPLETE="off">

有了AUTOCOMPLETE属性的输入框,IE就不会记录密码了。Yahoo登录页面也就是这样的。

 

oneVs1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浏览器记住密码抓取工具
02-23
浏览器上默认记住的用户名和密码的抓取器,可以提取出浏览器上的用户名和密码。很好用的小工具
jsp+servlet+Cookie实现记住密码功能
08-28
在Web开发中,"jsp+servlet+Cookie实现记住密码功能"是一个常见的需求,尤其是在构建用户登录系统时。本文将深入探讨这一技术栈如何协同工作,帮助用户在下次访问时自动填充登录信息,提升用户体验。 首先,JSP...
记住密码功能功能隐患
weixin_33892359的博客
11-26 222
2019独角兽企业重金招聘Python工程师标准>>> ...
浏览器密码存储原理和渗透中的利用
hpp24的专栏
11-29 4207
一、引言 我之前的文章中介绍了名为dumpmon的推特机器人,它监控着众多“贴码网站”的账户转储、配置文件和其他信息。自那以后,我一直留意着监测到的信息。接下来会有关于dumpmon的一系列文章,而本文则关注浏览器是如何存储密码的。 这里提到dumpmon,是因为我偶然发现一些贴码,比如这篇, 应该是感染在计算机上的恶意软件的日志。我便想:我总是认为最好不要让浏览器直接存储密码,但
浏览器直接保存密码,安全么?小心被“坏人”偷走你的密码
liguangyao213的博客
01-06 822
随着大家对网络的依赖,人们注册的网站也越来越多,但是每个网站都有一个密码,往往很多人为了省事,登陆后直接点击让浏览器记住密码,那这样安全么?答案肯定是否定的。 假设你的朋友说用一下你的电脑传个资料或者说改个文档,那你总不至于说不行,不让你用把。但当你给他用后,你浏览器中保存了很多登陆的密码。这时候,如果用你电脑的人想偷看一下你的密码呢? 正常情况下,当打开了保存密码的页面后,密码或被星星或者这...
浏览器记住密码--原理/不记住密码的方法
IT利刃出鞘的博客
12-11 2626
本文介绍浏览器是如何自动跳出保存密码的提示的,并介绍如何让浏览器不自动跳出保存密码的提示的方法。
360记住密码怎么取消.docx
09-26
首先,我们需要打开 360 安全浏览器,这是我们取消记住密码的第一步。 步骤 2:点击“工具”选项 在浏览器的左上角,我们可以找到“工具”选项,点击它然后选择“清除上网痕迹”。 步骤 3:打开“管理保存过的...
jsp,自动登录,记住密码
08-24
在IT行业中,"jsp,自动登录,记住密码"是一个常见的功能需求,特别是在Web应用程序开发中。JSP(JavaServer Pages)是一种动态网页技术,它允许开发者在HTML页面中嵌入Java代码,从而实现服务器端的逻辑处理。在这...
ie密码查看器绿色版
05-27
这个工具主要利用了IE浏览器的特性,因为IE会自动记住用户在登录网站时输入的用户名和密码,这些信息会被存储在本地的密码管理数据库中。ie密码查看器通过读取并解析这些数据,将星号转换回可读的字符,以便用户查看...
获取上网帐号密码并自动保存到D盘
03-18
1. **查看路由器配置**:登录路由器的管理界面,通常通过浏览器输入路由器的IP地址(如192.168.0.1或192.168.1.1),然后输入管理员账号和密码。在这里,你可以找到网络连接的账号和密码。 2. **使用系统工具**:在...
无需密码-直接提取WINRAR加密文件
06-08
无需密码-直接提取WINRAR加密文件
记住密码
QYHuiiQ
12-16 323
记住密码是把用户名及密码信息放在cookie中来实现的,这个cookie是标识这个唯一用户的。第一次访问服务器的时候,服务器会创建一个sessionid,并将该sessionid返回给客户端,以后每次客户端访问服务器的时候都要携带这个sessionID,服务器端用这个sessionid和服务器端的数据记录的sessionid对比已确定唯一用户。 如果设置了cookie的过期时间,那么cookie...
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
Azreal的博客
07-02 2838
补充学习资料: TK13大神Windows PE专栏 https://blog.csdn.net/u013761036/article/category/6401236 TK13大神Windows对抗专栏 https://blog.csdn.net/u013761036/article/category/6365454 鬼手56大神六个专栏 https://blog.csdn.net/qq_38474570/article/details/87707942 whatiwhere大神逆向工程专栏 https.
网站保存密码风险你知多少?
LC的博客
05-29 759
网站保存密码是为了方便下次不用再次输入。但是你想过安全问题吗?下面给你看看在网站保存密码后的结局、、、、、、 ps :其实了这个原理我认为是利用了浏览器对不同”type”的处理有所不同,”password”类型浏览器对其进行掩盖处理,对于”text”类型直接显示
html自动识别密码,记住密码后,密码框Password会自动带出数据_html/css_WEB-ITnose
weixin_29027285的博客
05-30 367
一般登陆之后浏览器会询问是否记住密码,如果把密码记住浏览器上,下次登陆的时候浏览器会把用户名和密码自动填充到登录页面。前段时间服务站平台的员工账号模块提测后,测试提出360浏览器记住密码后会自用把登陆账号和密码填充到添加账号页面和修改账号页面(部分其他浏览器也会有该问题),经过本地测试后发现确实存在该问题。 类似于这样:从用户的角度来说 这么整肯定不行,即使是浏览器的问题。通过组内人员的一步一步...
网页中记住密码这个功能的非安全性
dianmo9374的博客
11-12 385
  大家都知道网页中有一种功能就是当我们登录的时候会提示我们是否保存或记住密码、当我们点击保存或者记住密码以后,我们下次登陆时不需要重新输入密码即可快速登录、比如就拿我们的博客中博文来说,当我们写了博文设置相应密码之后,再次访问博文时,我们输入相应密码成功进入博文后会提示我们保存密码、如下图:      此时为了测试本次案例我们点击保存密码、当我们点击保存密码之后、我们下次访问时就无...
浏览器记住密码终极解决方案
等待,就是浪费青春,让代码改变世界
07-30 255
总体思路就是将password替换为text,在输入字符时,将字符替换为●即可 表单代码 <input id="password" type="text" placeholder="密码" password="" > js代码 <script> window.onload = function () { documen...
web页面记住密码存在安全问题 - 处理方式
weixin_30345055的博客
04-19 720
现在一般安全网站都不会做记住密码功能,因为记住密码存在安全缺陷。 不考虑网络拦截问题,如果是登录页面记住密码,第二次登录,直接进入开发者模式修改类型为text即可看到密码。 处理方式: 1、把autocomplete="off"属性也加上。 2、页面采用https协议,因为https是不会对表单进行保存信息的。 3、来个变态的好了,就是可以把type="password"改成type="...
html网页设如何置访问密码,浏览器怎么设置密码 如何给网页增加一个口令【步骤】...
weixin_28955629的博客
06-11 1681
浏览器怎么设置密码?网页浏览器主要通过HTTP协议与网页服务器交互并获取网页,这些网页由URL指定,文件格式通常为HTML,并由MIME在HTTP协议中指明。一个网页中可以包括多个文档,每个文档都是分别从服务器获取的。下面,我们就来看看如何给网页增加一个口令。1、我们打开桌面的Internet Explorer浏览器-然后选择菜单栏上的工具(T)-Internet 选项(O)。2、在弹出的Inte...
vue浏览器记住密码后会回显到其它输入框中
最新发布
05-01
另外值得一提的是,Vue本身并没有控制浏览器密码记忆功能的能力,因此无法直接阻止浏览器自动将密码填充到其他输入框中。如果我们需要禁用这一功能,需要在HTML页面中添加autocomplete="off"属性来告诉浏览器不要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值