自动填写表单有风险吗?

使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?
  分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。

要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?

 保存着的密码仍能自动填上,并且可被脚本访问到!

如果在用户访问的页面里,创建大量的隐藏框架页,即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了。具体实现和浏览器有关)。可是即使框架页不自动填写,但主页面总得保留该功能吧。如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页,无论能否获取数据,都将继续跳转,一个接一个的尝试。。。直到用户切回窗口,再恢复到原先那个页面。

由于泄露的是明文的账号和密码,即使数量不多,也能通过社工获取到用户的更多信息,最终导致更严重的泄露。
防范措施:
1、网站全站部署沃通SSL证书,即使泄露,也只是密文,没法破解拿到原始的账号和密码。
2、无论是 Cookie 记住登录,还是浏览器自动填表,重要的账号都应慎用。浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写,规定的时间里只能填有限次

时间: 2024-10-12 05:27:09

自动填写表单有风险吗?的相关文章

chrome 自动填写表单插件

主要功能是打开任意网页插件会自动判断URL是否是form.php结尾,如果是则按照规则自动填写网页表单,如果不是则略过. Manifest.json { "name": "智能表单助手", "description": "自动填充***申请友情链接表单", "version": "1.0", "permissions": [ "tabs", &qu

Ext.Form 自动填写表单内容

前台: 表单必须含有name属性 if (action == 'edit') { MyForm.getForm().load({ url: '../../data/personMatter/EmployeeHandler.ashx', params: { Action: action,empId:empId }, failure: function (form, action) { Ext.Msg.alert("Load failed", action.result.errorMess

Qt自动填写表单并点击按钮,包括调用js方法

本篇博客参阅了很多其他大牛的文章,具体找不到了,还望包涵>_< 因为其他博客大都是只有主要代码,对于像我这种菜鸟,根本摸不着头脑,以此想总结一下,帮助新手尽快实现功能... 主要是调用了Com接口来操作浏览器(仅限于ie),并且获取dom,然后来自动填写或者点击按钮等操作,具体看代码 在写代码之前,遇到的第一个坑就是导入mshtml.h报错问题 (未完待续) 原文地址:https://www.cnblogs.com/hyuganatsu/p/qt-dom.html

VBA自动填写表单

hao268网站,风格清新,无任何广告,实在是良心之作.其首页中的邮箱账户,可以方便的直达各个常用邮箱.本程序利用VBA,实现139邮箱的自动登录. <select id="hao_mail_options" onChange="MailLogin.change(this)"> <option></option><option>@163.com</option><option>@qq.com&l

用chrome浏览器实现手动“自动填充表单”

原文地址:http://blog.csdn.net/ffb/article/details/38559655 现在的浏览器基本都有自动填充表单的功能,可以极大的节约我们填写一些常见表单,尤其是登录表单的填写时间. 但是现在随着用户需求的不断发展,很多网页都是使用js来实时进行表单提交的操作,这些操作可能根本不涉及实际的submit操作,所以不会被浏览器截获并记录,这个时候面对一些需要反复重复填写的常见的表格就很郁闷了. 不过还好,这种情况依然是可以实现手动"自动填充表单"的,方法就是利

CCFLOW如何使用“脚本验证”自动填写表单中的RMB(大写)金额字段

如何使用"脚本验证"自动填写表单中的RMB(大写)金额字段 需求: 表单中有两个字段,一个字段为手工录入的RMB金额(小写),另一个字段需要填写该金额对应的大写形式. 目标: 录入RMB金额(小写)时,RMB金额(大写)文本框自动生成金额的大写形式. 设置步骤: 1.更新"\DataUser\JSLib\onkeyup\01.RMB转大写形式.js"文件: 2.打开节点自由表单设计器,单击工具栏上的"扩展设置"按钮,打开表单扩展设置界面.点击左侧

fusioncharts批量导出图片之后自动提交表单

最近一个项目  一个页面有多个fusioncharts,需要将他们一次性导出之后再利用图片做一下操作,制作一个可以客户下载的质检简报. 对客户效果来说,我只需要点击一个按钮就能生成简报并且下载,对开发人员来说就需要,先将图片导出(当然不能挨个导出,要同时执行导出,因为fusioncharts导出太慢了),要确认全部导出了才能提交表单,要不然提交表单之后,图片没有生成出来必然产生异常.下面我们来看一下实现 首先我给每一个fusionchartschart指定一个有规律的id,作用有两个: 一个是导

Ajax中通过JS代码自动获取表单元素值的示例代码

我们在使用Ajax的时候,通常需要获取表单元素值,然后发送给后台的服务器端程序处理.如果表单元素不多的情况我们常常会通过GET方式来获取表单元素值,但如果表单元素非常多,此时就需要用POST方式来获取表单元素值,那么如何来获取表单元素值呢?下面给出一段JS代码即可自动获取表单元素的值了 http://www.qidian.com/BookReader/1839917,60421843.aspx http://www.qidian.com/BookReader/1839917,60422045.a

java 传入用户名和密码并自动提交表单实现登录到其他系统

不用单点登录,模拟远程项目的登录页面表单,在访问这个页面的时候自动提交表单到此项目的登录action,就可以实现登录到其他系统. ssh框架项目 1.以下是本地系统的action代码: 1 import java.io.IOException; 2 import java.util.List; 3 import java.io.BufferedReader; 4 import java.io.IOException; 5 import java.io.InputStreamReader; 6 i