2017年11月17日 星期五

[網站安全]網站密碼欄位明碼顯示

簡介
有時候在勘察目標電腦時,發現使用者有習慣登入某些網站,也有使用記憶密碼的功能,剛好手邊沒有適合的工具時。可以使用一點小技巧來查看使用者的密碼,以達到勘察的目的。

或平常自已有使用記憶密碼的功能,但時間久了卻忘記原先設定的密碼時,也可以利用這種小技巧來確認自已的原先登入密碼。

操作過程
利用檢視網頁元素的功能,以chrome為例,在該頁面按下F12按鍵後,找到密碼欄位的Type,可直接查詢password關鍵字比較快速。
待找到屬性type=password(password會將使用者輸入的字串作遮蔽的動作)


將type=password改為type=text(文字)後,即可還原出使用者的密碼,這時候我們就可以知道,使用者在這個網站原先登入過的密碼(但前提是可以頁面有記憶密碼功能)。


小結
利用網頁元素的小技巧,幫助使用者簡單查看出原先設定的密碼內容,進而省去重設密碼的困擾,但以資訊安全的角度,使用者仍需定期更換密碼,以避免遭駭客竊取敏感資訊。

同時,若以勘察目標電腦的角度,利用分析網頁元素的小技巧,並不會變動到原先主機的數位內容,以維護未來數位證據的一致性。