XSS Hack：获取浏览器记住的明文密码

3.需要id或name为username的用户名表单项

4.需要id或name为password的密码表单项

如果是这样，攻击者发现同域内XSS后，就要开始构造一段payload，这个payload用于自动创建出这样的表单，这个表单浏览器要能够认识（认为是之前记住密码的那个表单:P），并且必须在浏览器开始自动填充密码之前出来（否则得不到填充值），最后必须在浏览器填充完密码后开始获取表单项的值（否则获取到的值是空的）。

条件好像很苛刻，哪个步骤时间把握不好，攻击就失败了。针对这个场景我构造了一个payload，如下：

function create_form(user) { /*获取明文密码*/
	var f = document.createElement("form");
	document.getElementsByTagName("body")[0].appendChild(f);
	var e1 = document.createElement("input");
	e1.type = "text";
	e1.name = e1.id = "username";
	e1.value = user;
	f.appendChild(e1);
	var e = document.createElement("input");
	e.name = e.type = e.id = "password";
	f.appendChild(e);
	setTimeout(function () {
		alert("i can see ur pwd: " + document.getElementById("password").value);
	}, 3000); // 时间竞争
}

create_form('');

也可以查看http://evilcos.me/lab/xss_pwd/xssme.html的代码，create_form函数的执行优先于整个document文档的完全解析，这时会自动创建一个登录表单（和之前记住密码的表单关键部分是一样的，这就足够了），然后等待3000毫秒，待整个document文档解析结束（此时浏览器已经完成了密码填充），最后获取密码表单项里的值，成功！

3000毫秒不靠谱就来个for循环直到获取到密码值才退出。

0x04. 插一个题外点：时间竞争

这个话题很大，就是谁先谁后的问题，不仅和浏览器解析处理整个DOM树的顺序有关系，也和我们要达到的目的有关，比如浏览器解析顺序的一个经典例子：

是先解析完远程的js脚本，还是先解析

标签？

如果这样呢？

我们最好对“时间竞争”心里有数，搞清楚浏览器解析的机制，这样我们的payload才能达到我们的目的。

0x05. 各浏览器的差异

我已经习惯差异了，而且喜欢差异，因为这样很可能会带来一些安全问题，不过前端工程师们就不喜欢了:&，下面我只讲关键的差异，那些小的，大家自己试验，自己发现。

1.Safari浏览器

只有Safari默认是关闭这个机制的。如果开启后，效果和chrome一样，非常好用！

2.Opera浏览器

Opera好像很安全，记住密码后，浏览器并不会自动填充密码，而是要用户自己点击地址栏左边的钥匙图标，才会开始填充并登录。

3.IE8/9浏览器

IE8/9及部分这个内核的浏览器（比如遨游的IE模式）很聪明，将每个登录表单绑定到所在的页面上（下面简称这个页面为绑定页面），由于绑定页面地址是唯一的，同域内其他页面就无法通过生成一个一模一样的表单来获取密码了。

如果就这样还是不安全:P，因为XSS可以动态iframe进这个绑定页面，然后注入JS进行任意DOM操作，同样非常容易获取到密码表单项的值，IE估计是考虑到了这个，通过iframe调用绑定页面也无效。而且IE的机制还远没这样简单，即使在绑定页面内我也没成功得到密码，因为IE默认并不填充密码，只有输入正确用户名后，并触发类似onblur事件，这个密码表单项才会填充进对应用户名的密码。这个过程我本想通过DOM来模拟进行的，但是没有成功。感兴趣的同学可以试试。

4.其他浏览器

其他浏览器（除了搜狗浏览器）都和Chrome差不多了，大多是因为webkit内核。下面单独说说搜狗浏览器吧。

0x06. 搜狗浏览器“记住密码机制”的安全缺陷

搜狗浏览器在实现这个机制估计是下了一些苦工了，双核模式下都很好兼容，不过安全方面的实现存在一些问题，并没严格遵循同源策略。在我的测试中发现，搜狗没区分好不同端口及不同子域的同源问题。

比如在www.foo.com域下记住的密码，在a.foo.com与www.foo.com:8080域中都可以读取到。

还有一个有意思的，我们的payload甚至仅创建一个password表单项（

0x07. 如何防御

从三个方面进行：浏览器、网站、用户。

1.浏览器防御

IE的机制相对来说很不错了，其他浏览器可以借鉴，虽然这样会影响一些用户体验，我想为了更安全也值得了吧，需要特别注意的，IE这个机制有好几个关键点，不要到时候依葫芦画瓢，学不好让人笑了:P

2.网站防御

通常给表单的

3.用户防御

意识为先吧，浏览器记住你的密码需谨慎，没必要的就不用记了。

0x08. 总结

到这还没结束，大家可以试试给表单多增加一个项或者少一个项，不同浏览器还是存在很多差异，这个大家自己找吧。

这个安全问题我很早就发现，也公开过，不过没引起足够重视:P，如果一个SNS类的网站中传播XSS蠕虫，带上这样的payload，不知道能获取多少明文密码……或者在定点渗透过程中，如邮箱XSS渗透，带上这样的payload，一定概率说不定可以拿到明文密码。怎么个危害，就看怎么个场景，怎么个利用。

最后，这篇文章的各种知识点也都会出现在我的书中（定位Web前端攻防），还没写完，还在继续，这里算是打个小广告了。也希望大家关注xeye即将上线的网站，更多分享会继续！祝各位新春快乐了:D

留言评论（旧系统）：