上一篇文章提到(点击即可访问) :在进行xss攻击时,如果cookie中被添加了httponly属性,我们可以尝试获取浏览器中由于记住密码而自动填充的表单里面的值,那这篇我们来看下自动填充的危害。
我们继续拿我们昨天的代码
我们在一些文本框输入某个值的时候,会发现其他对应的值也会被对应填充上,那是因为浏览器记录了相关表单属性的值,下次出现相同的表单属性会自动填充
也就说,下次B站只要出现上图中A站同样的name为pwd的表单,会自动填充上A站中的密码。
如果一个网站,只出现了一个账号的表单,你不假思索的选择了原先保存过的账号,比如下面这样
点击提交会怎么样?
会我的密码也提交过来了!!
看一下代码,原来其中把pwd表单隐藏了
那我们是否可以创建一个恶意的、隐藏的表单,里面填满了如email、address、phone......
凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数
原文始发于微信公众号(中国白客联盟):js之浏览器自动填充表单的危害(三)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论