作者介绍：杨秀璋_自幼受贵州大山的熏陶，养成了诚实质朴的性格。经过寒窗苦读，考入BIT，为完成自己的教师梦，放弃IT、航天等工作，成为贵财一名大学教师，并想把自己所学所感真心传授给自己的学生，帮助更多陌生人。__一.用户登录明文与加密浅析_浏览器开发模式通常可以查看源代码，以简书为例，在 登录页面 输入用户名和密码，然后右键“检查”或“审查元素”。运行结果如下所示，点击“Network”选择页面能查看消息头Headers及状态信息、Cookies或Sessions。这是开发者常用的分析方法，尤其是网络爬虫，需要审查元素定位所需信息的HTML源码。下图展示了作者输入的用户名及密码，这里的密码是明文显示的。而有的网站输入的用密码是加密过的，比如我大贵财某登陆系统传递的密码是MD5加密。MD5解密如下所示。作者写这部分原因：一是想讲解下浏览器开发者模式的基本用法，二是后续想了解网站前端是否需要加密，用户名和密码传递到后台程序是如何加密解密的，以及存储至数据库的基本流程、它是明文或密文，这是否存在安全隐患及预防措施等。MD5即Message-Digest Algorithm 5（信息-摘要算法第5版），是计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护，确保信息传输完整一致。MD5是计算机广泛使用的杂凑算法之一（又译摘要算法、哈希算法），主流编程语言普遍已有MD5实现。注意，任意长度的数据，算出的MD5值长度都是固定的；对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值都有很大区别。MD5的作用是让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式（就是把一个任意长度的字节串变换成一定长的十六进制数字串）。MD5理论上还是安全的，毕竟号称是不可逆算法。但是，目前网上有一些神器撞库网站，把所有密码列举出来，然后去比对的暴力破解法，虽然笨重，但是也很有效。_二.浏览器保留密码功能漏洞示例_漏洞测试1浏览器本机保留密码功能是非常不安全的，不推荐大家使用，不过如果你想找回密码用这种方式倒是不错。 首先，在需要登录的页面上选择浏览器自动保留用户名和密码，并提交登录。接着，退出重新登录，Chrome浏览器审查元素，定位密码位置。最后，将输入框input元素的type属性，从“password”修改为“text”，显示结果如下所示。所以，大家在登陆网站时尽量不要选择保存用户名和密码，该行为带来了极大的密码泄露风向，而且很难规避，尤其是重要的密码或超级管理员账户。除非增加手机验证码、异常登录提醒、QQ验证等。个人建议： 电脑不用轻易借给他人使用，除非身边非常信任的人非私人电脑一定不能让浏览器保存密码设定一些易于记住的密码，浏览器里登录时重要账户选择不要保存密码，每次登录手动输入离开电脑务必记得随时锁屏或者关机，登录系统一定要设定密码整合到Chrome第三方工具如LastPass，使用主密码来管理那些密码_2.常用工具那么，Chrome浏览器是如何存储这些用户名和密码呢？它是否也不安全呢？ 首先，打开密码管理器。设置->高级->密码，或者输入 chrome://settings/passwords。接着，查看保留的用户名和密码，包括163邮箱、百度等。不会吧，这么危险。所幸，Chrome浏览器对显示的密码进行了一道验证，需要输入正确的电脑账户密码才能查看，如下图所示。为了执行加密（在Windows操作系统上），Chrome使用了Windows提供的API，该API只允许用于加密密码的Windows用户账户去解密已加密的数据。所以基本上来说，你的主密码就是你的Windows账户密码。所以，只要你登录了用自己的账号Windows，Chrome就可以解密加密数据。输出Windows账户正确显示对应网站的密码。补充知识： 由于Windows账户密码是一个常量，并不是只有Chrome才能读取“主密码”，其他外部工具也能获取加密数据，同样也可以解密加密数据。比如使用NirSoft的免费工具ChromePass（NirSoft官方下载） ，就可以看得你已保存的密码数据，并可以轻松导出为文本文件。既然ChromePass可以读取加密的密码数据，那恶意软件也能读取的。当ChromePass.exe被上传至VirusTotal 时，超过半数的反病毒（AV）引擎会标记这一行为是危险级别。不过微软的Security Essentials并没有把这一行为标记为危险。假设你的电脑被盗，小偷重设了Windows账号密码。如果他们随后尝试在Chrome中查看你的密码，或用ChromePass来查看，密码数据都是不可用。原因很简单，因为“主密码”并不匹配，所以解密失败。此外，如果有人把那个SQLite数据库文件复制走了，并尝试在另外一台电脑上打开，ChromePass也将显示空密码，原因同上。结论是Chrome浏览器中已保存密码的安全性，完全取决于用户本身 。个人建议：使用一个极高强度的Windows账号密码。必须记住，有不少工具可以解密Windows账号密码。如果有人获取了你的Windows账号密码，那他也就可以知道你在Chrome已保存的密码。远离各种各样的恶意软件。如果工具可以轻易获取你已保存的密码，那恶意软件和那些伪安全软件同样可以做到。如果非得下载软件，请到软件官方网站去下载。把密码保存至密码管理软件中（如KeePass），或使用可以整合到Chrome中的第三方工具（如LastPass），使用主密码来管理你的那些密码。用工具（如TrueCrypt）完全加密整个硬盘，并且非私人电脑一定不能让浏览器保存密码。_漏洞测试3作者想继续修改input密码的属性，看看能不能显示密码。如下图所示：再次幸运，Chrome应该已经解决了该漏洞，显示空白。接着，作者尝试获取本地Chrome浏览器登录的账户信息。找到密码存储的位置，文件或者是注册表，这个时候需要开启监控工具，打开注册表和文件操作信息。然后到chrome密码管理界面，随便删除一条记录，然后看看chrome本身对哪些文件或者注册表进行了修改。也可以直接寻找文件，通常用户名文件的存储路径为： C:Users…AppDataLocalGoogleChromeUser DataDefault  找到下图所示的文件，Login Data。_漏洞测试4接着打开这个文件，还好这个文件是加密的，而不是明文存储。虽然该文件加密了，但是可以看到它是 SQLite format 3 的格式。接着通过工具读取该数据。这里使用 Navicat Premium工具。Navicat premium是一款数据库管理工具,是一个可多重连线资料库的管理工具，它可以让你以单一程式同时连线到 MySQL、SQLite、Oracle 及 PostgreSQL 资料库，让管理不同类型的资料库更加的方便。第一步，新建连接。第二步，输入连接名如“test0803”，并导入本地的“Login Data”数据。第三步，打开之后在“main”数据库中包含了三张表，其中logins为登录表。第四步，打开如下所示，比如163邮箱的用户名为我的电话，密码是加密的。第五步，破解思想。想要破解一个加密算法是很难的。这学习TK13大神的文章，了解到Chrome开源的加密函数CryptProtectData和CryptUnprotectData。这对加解密函数非常特别，调用的时候会去验证本地登录身份，这也就是为什么别人的那个密码文档不能直接拷贝到我们自己chrome相关文件夹下去看的原因了。接下来是代码实现，找到开源的Sqllite3库，把数据库解析出来，然后得到密码的加密数据，用CryptUnprotectData解密。注意，如果chrome开启的时候直接对这个数据库文件操作会失败，建议每次操作先把文件拷贝出来再处理。 参考文章： https://www.secpulse.com/archives/3351.html http://netsecurity.51cto.com/art/201603/507131.htm https://blog.csdn.net/u013761036/article/details/53822036第六步，使用TK13大神分享的AnalysisChromeLogin.exe工具进行解密。下载地址：http://download.csdn.net/detail/u013761036/9719029PS：是不是很可怕，所以个人电脑大家一定要保护好开机密码，别轻易让坏人使用。后续尝试破壳看看这个EXE程序源代码是如何解析的。_三.Chrome浏览器密码存储机制_下面分享N1ckw0rm大神讲解的Chrome浏览器密码存储机制。谷歌浏览器加密后的密钥存储于%APPDATA%…LocalGoogleChromeUser DataDefaultLogin Data”下的一个SQLite数据库中。那么他是如何加密的呢，通过开源的Chromium，我们来一探究竟：首先，我们作为用户登录一个网站时，会在表单提交Username以及Password相应的值，Chrome会首先判断此次登录是否是一次成功的登录，部分判断代码如下：Provisional_save_manager_->SubmitPassed(); if (provisional_save_manager_->HasGeneratedPassword()) UMA_HISTOGRAM_COUNTS(“PasswordGeneration.Submitted”, 1); If (provisional_save_manager_->IsNewLogin() && !provisional_save_manager_->HasGeneratedPassword()）{ Delegate_->AddSavePasswordInfoBarIfPermitted( Provisional_save_manager_.release()); } else ｛ provisional_save_manager_->Save(); Provisional_save_manager_.reset(); ｝  当我们登录成功时，并且使用的是一套新的证书(也就是说是***次登录该网站)，Chrome就会询问我们是否需要记住密码。 那么登录成功后，密码是如何被Chrome存储的呢?答案在EncryptedString函数，通过调用EncryptString16函数，代码如下：Bool Encrypt::EncryptString(const std::string& plaintext,std::string* ciphertext) { DATA_BLOB input; Input.pbData = static_cast<DWORD>(plaintext.length()); DATA_BLOB output; BOOL result = CryptProtectData(&input, L””,NULL, NULL, NULL, 0,&output); if (!result) Return false; //复制操作 Ciphertext->assign(reinterpret_cast<std::string::value_type*>(output.pbData); LocalFree(output.pbData); Return true; }  代码利用了Widows API函数CryptProtectData(前面提到过)来加密。当我们拥有证书时，密码就会被回复给我们使用。在我们得到服务器权限后，证书的问题已经不用考虑了，所以接下来就可以获得这些密码。下面通过Python代码实现从环境变量中读取Login Data文件的数据，再获取用户名和密码，并将接收的结果通过win32crypt.CryptUnprotectData解密密码。google_path = r’ GoogleChromeUser DataDefaultLogin Data’ file_path = os.path.join(os.environ,google_path) #Login Data文件可以利用python中的sqlite3库来操作。conn = sqlite3.connect(file_path) for row in conn.execute('select username_value, password_value, signon_realm from logins'): #利用Win32crpt.CryptUnprotectData来对通过加密的密码进行解密操作。 cursor...

更多全球网络安全资讯尽在邑安全据security affairs消息，Imperva安全研究人员发现Chrome浏览器上的某个广告屏蔽插件被攻击者滥用，并借此在谷歌搜索页面上注入恶意/虚假的广告。这是一个借助广告注入的诈骗性攻击行为，专门针对一些大型网站。该攻击通过利用一个名为AllBlock的广告屏蔽插件来实现，插件广泛用于Chrome和Opera浏览器上，这意味着攻击者已经可以在Chrome和Opera浏览器上注入恶意广告。广告注入是将未经授权/不安全的广告插入到网页中，并诱惑用户点击。目前这种恶意广告注入可以通过多种方式实现，包括使用恶意浏览器拓展，恶意软件和跨站脚本(XSS)攻击。2021年8月底，安全研究人员发现了一系列的广告分发、注入脚本的流氓域，攻击者们将其链接到了一个名为AllBlock拓展插件上。根据Imperva的分析报告，其中之一是hxxps://frgtylik.com/KryhsIvSaUnQ.js,工作方式如下：脚本会把当前页面中所有的链接列表，包括页面完整的URL，发送至远程服务器中；远程服务器会返回想要重新定向到脚本的域列表；当用户点击这些已经被更改的链接时，就会被劫持到其他的页面。具体过程如下图所示：简单来说，JavaScript代码将会被注入到浏览器打开的每一个新页面中，它会识别并将Web页面中的所有链接（即搜索引擎中的查询结果）发送到远程服务器。这时服务器会返回来一个恶意的域列表，以此替代原有合法的链接，这样当用户点击其中一个链接时，就会被定向到攻击者的恶意网站中。Imperva安全人员继续分析后表示，“在一个名为e.hiddenHref的变量中，恶意的JavaScript会利用服务器ratdsnet返回的信息替换掉原有的URL。只要用户点击了网页上任何修改过的链接，他就会被定向到另一个链接中。凭借着这个欺诈性的广告注入攻击中，每当用户出现注册或购买产品等特定的行为时，攻击者就可以从中获取利润。为此，攻击者使用了几种技术来规避AllBlock的检测，伴随的还有一些增加分析工作难度的操作，例如每100ms清除一次调试控制台，以及排除主要的搜索引擎等。Imperva安全研究人员还发现，该攻击行为可以和此前一个名为PBot活动联系起来，因为他们使用了相同的域名和IP地址。“广告注入是一种不断演变的威胁，几乎可以影响到所有的网站。当一个网站被广告注入时，网站的性能和用户体验会马上下降，这意味着网站的速度会降低，用户等待的时间也会更长。根据Baymard的研究报告，68.8%购物车会被用户舍弃，其中有很多原因，但不可否认的是，广告注入是其中最关键的原因之一。”“此外，广告注入还会给网站带来其他的影响，包括用户的信任度和忠诚度下降，网站收入也会因此下降，内容会被屏蔽，转换率也会降低。”值得庆幸的是，目前恶意的Ad-Blocking Chrome插件已经从WebStore和 Opera插件市场中删除，避免更多的人因此而遭受损失。原文来自: freebuf.com原文链接: https://securityaffairs.co/wordpress/123488/cyber-crime/ad-blocking-chrome-extension-allblock.html欢迎收藏并分享朋友圈，让五邑人网络更安全欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！推荐文章1新永恒之蓝？微软SMBv3高危漏洞（CVE-2020-0796）分析复现2重大漏洞预警：ubuntu最新版本存在本地提权漏洞（已有EXP）　 原文始发于微信公众号（邑安全）：Chrome的广告屏蔽插件，竟成了广告注入的“帮凶”