利用javaScript窃取本地表单密码
2013-11-07 15:45
357 查看
现如今,很多浏览器都有智能填写表单功能,当我们第一次在网站上填写某个表单并且登陆的时候,
浏览器会询问我们是否记住帐号密码以便下次登陆,当我们选择是的时候,浏览器会帮我们把帐号密码
保存起来,当我们下次访问那个网页的时候,会发现浏览器就会自动地帮我们把用户名和密码都填写好
。如我们学们学校的教务处网
:
此时,表单里的用户名和密码已经被填写,因为用户名的表单类型通常type="text" 所以是明文显示出来的,
但是表单的密码域类型为type="password"。不同的浏览器对于密码域的处理也不相同。有的浏览器不允许
对密码域里面的值进行复制,如IE浏览器,和其他基于IE内核的浏览器(如360浏览器)。 有的浏览器可以复
制密码域,但是是以字面值为值的。如firefox浏览器。复制表单域到其他地方只会单纯的输出●●●●●●●●。
所以我们没有办法读取到明文密码。
利用javaScript帮我们读取密码域的值:
有的浏览器支持javaScript伪协议,有的不支持。在我们的IE或者基于IE内核的浏览器的url中输入 "javaScripr:alert('hello world')"
,你会发现,浏览器居然能执行url中的javascript代码。这是一种不同于 http;// https:// ftp://通信协议的一种面向应用的伪协议。
浏览器会调用javascript解析器,解析并执行url中的代码。 需要注意的是,如果你的代码最后一句有返回值,那么页面会被返回值重写。
我们例子用的alert()函数没有返回值,所以页面没有被重写。
知道了这个简单的原理之后我们就可以想办法利用javascript读取我们的密码域了。
1.获得表单的id。
要想获得密码域的值,首先需要定位密码域,在html中是用id值来分别元素的。 所以只要获得密码域的id,就能利用javascript
定位到我们的密码域了。
利用浏览器的调试工具 如火狐的查看器
可以看到 表单域的id为password(在表单域中name值等同于id值)。
2 利用javascript显示密码值
知道了密码域的id,就可以简单利用一个语句输出密码的值了,在url中输入 "javascript: alert(document.getElementById('password').value)"。
按回车执行,明文密码就显示出来了~!
哦 原来密码就是wodemima 啊。
好了 会了此方法,偷偷到你亲朋好友电脑上试试。搞搞恶作剧什么的。而且现在"百号一码“的现象十分普遍,获得了一个帐号的密码,就相当于获得了多个帐号的密码。
在此声明,不要用此法做违法犯罪之事。
伤害了亲朋好友的感情,与我无关,概不负责。谢谢 ~~
浏览器会询问我们是否记住帐号密码以便下次登陆,当我们选择是的时候,浏览器会帮我们把帐号密码
保存起来,当我们下次访问那个网页的时候,会发现浏览器就会自动地帮我们把用户名和密码都填写好
。如我们学们学校的教务处网
:
此时,表单里的用户名和密码已经被填写,因为用户名的表单类型通常type="text" 所以是明文显示出来的,
但是表单的密码域类型为type="password"。不同的浏览器对于密码域的处理也不相同。有的浏览器不允许
对密码域里面的值进行复制,如IE浏览器,和其他基于IE内核的浏览器(如360浏览器)。 有的浏览器可以复
制密码域,但是是以字面值为值的。如firefox浏览器。复制表单域到其他地方只会单纯的输出●●●●●●●●。
所以我们没有办法读取到明文密码。
利用javaScript帮我们读取密码域的值:
有的浏览器支持javaScript伪协议,有的不支持。在我们的IE或者基于IE内核的浏览器的url中输入 "javaScripr:alert('hello world')"
,你会发现,浏览器居然能执行url中的javascript代码。这是一种不同于 http;// https:// ftp://通信协议的一种面向应用的伪协议。
浏览器会调用javascript解析器,解析并执行url中的代码。 需要注意的是,如果你的代码最后一句有返回值,那么页面会被返回值重写。
我们例子用的alert()函数没有返回值,所以页面没有被重写。
知道了这个简单的原理之后我们就可以想办法利用javascript读取我们的密码域了。
1.获得表单的id。
要想获得密码域的值,首先需要定位密码域,在html中是用id值来分别元素的。 所以只要获得密码域的id,就能利用javascript
定位到我们的密码域了。
利用浏览器的调试工具 如火狐的查看器
可以看到 表单域的id为password(在表单域中name值等同于id值)。
2 利用javascript显示密码值
知道了密码域的id,就可以简单利用一个语句输出密码的值了,在url中输入 "javascript: alert(document.getElementById('password').value)"。
按回车执行,明文密码就显示出来了~!
哦 原来密码就是wodemima 啊。
好了 会了此方法,偷偷到你亲朋好友电脑上试试。搞搞恶作剧什么的。而且现在"百号一码“的现象十分普遍,获得了一个帐号的密码,就相当于获得了多个帐号的密码。
在此声明,不要用此法做违法犯罪之事。
伤害了亲朋好友的感情,与我无关,概不负责。谢谢 ~~
相关文章推荐
- 利用JavaScript缓存远程窃取Wi-Fi密码的思路详解
- 利用JavaScript DOM 检查表单
- 在Asp.net中利用Javascript避免表单重复提交(for .net2.0)
- JavaScript学习(7)利用表单获取数据
- 利用 Javascript 和 CSS 美化 HTML 表单
- 利用javascript是表单隔行换颜色
- 利用JavaScript实现密码录入框只允许输入数字和字母的组合
- AJAXCDR:利用 Flash 完美解决 JavaScript 和 AJAX 跨域 HTTP POST/GET 表单请求[原创]
- 利用javascript提交表单
- javaScript学习_利用表单获取数据 .
- 看我如何利用漏洞窃取麦当劳网站注册用户密码
- 看我如何利用漏洞窃取麦当劳网站注册用户密码
- 利用JavaScript DOM 检查表单
- Firefox中利用javascript调用本地程序
- 利用JavaScript更改百度云分享密码
- 利用javascript判断前端密码输入是否一致
- javascript表单劫持用户密码(后门免杀)
- 我是如何利用漏洞窃取麦当劳用户的账号和密码的
- JavaScript 动态删除/添加HTML表单元素(可以浏览本地文件)
- 利用JavaScript DOM 检查表单