浏览器的主动填充功用真的安全吗?我看未必!

浏览器的主动填充功用真的安全吗?我看未必!在今日这个“芯片当道”的年代,信誉卡数据被盗事情的发作概率也一直在上升,由于进犯者能够运用各式各样的办法来盗取信誉卡数据,而一块小小的芯片并不能确保信誉卡在网络环境中的安全。

在今日这个“芯片当道”的年代,信誉卡数据被盗事情的发作概率也一直在上升,由于进犯者能够运用各式各样的办法来盗取信誉卡数据,而一块小小的芯片并不能确保信誉卡在网络环境中的安全。
中间人...

在今日这个“芯片当道”的年代,信誉卡数据被盗事情的发作概率也一直在上升,由于进犯者能够运用各式各样的办法来盗取信誉卡数据,而一块小小的芯片并不能确保信誉卡在网络环境中的安全。

中间人进犯、歹意软件以及Rootkit进犯呈现的频率越来越高,进犯者乃至还能够运用方针用户设备中的安全漏洞长途/本地盗取数据。当进犯者成功访问到方针数据后,他们会将偷盗来的信誉卡数据发送到自己的长途服务器中,然后运用这些信息进行匿名付出或在地下暗盘中出售以获取不合法利益。
在这篇文章中,咱们将跟咱们进犯者怎么运用现在四大抢手浏览器(Internet Explorer (IE)、Microsoft Edge、Google Chrome以及Mozilla Firefox)来盗取信誉卡数据,并评论相应浏览器所面对的安全危险。
表单主动填充功用
现代浏览器能够保存用户的各种信息(包括信誉卡数据在内),而这种功用也能够给用户的日常运用供给快捷,但与此同时这种功用也带来了许多安全问题。让咱们先看一看浏览器的“主动填充”功用,并了解其作业机制。
浏览器能够存储HTML表单数据,并在需求运用这些信息的时分主动填充到正确的表单字段中,这样能够防止让用户重复输入各种数据,并加速在线表单的填写速度。
IE、Edge、Chrome和Firefox都会调用这种主动填充功用,但不幸的是,它们存储灵敏信息的办法是存在安全问题的。鄙人图中,你能够看到主动填充功用的一个比如:

映射主动填充存储内容
依据不同版别的操作体系,浏览器会将主动填充数据存储在不同的方位。接下来,咱们一同映射出这些方位所存储的数据。
IE和Edge会将主动填充数据存储鄙人列注册表键值中:
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsFormData
HKEY_CURRENT_USERSoftwareClassesLocalSettingsSoftwareMicrosoftWindowsCurrentVersion
AppContainerStoragemicrosoft.microsoftedge_8wekyb3d8bbweMicrosoftEdgeIntelliFormsFormData
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsStorage1
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsStorage2
Chrome会将这些数据存储在一个SQLite数据库文件中:
%LocalAppData%GoogleChromeUserDataDefaultWeb Data
Firefox相同会将这些数据存储在一个SQLite数据库文件中:
%AppData%MozillaFirefoxProfiles{uniqString}.defaultformhistory.sqlite
需求留意的是,IE、Edge、Chrome和Firefox在存储主动填充数据之前,都会运用Windows DPAPI(数据维护运用编程接口)来对主动填充数据进行加密,并在运用之前运用DPAPI进行数据解密。
问题就在于,会在用户环境下调用DPAPI,在加密数据时,彻底不需求用户干涉或输入额定暗码。而此刻任何脚本或代码都能够运行在同一用户环境下(不需求特别权限或提权),因而歹意代码就能够仿照浏览器调用DPAPI来对数据进行加密解密了。
当然了,咱们也有更安全的DPAPI运用办法,但在解密过程中需求用户干涉,咱们待会儿再评论。
Firefox在存储主动填充数据时,彻底不会对数据进行加密。本文针对的首要是信誉卡数据,但浏览器中还会存储各种其他的灵敏信息,例如用户名、暗码和隐私链接等等,而这些数据都会存储在同一文件或注册表键值之中。
秘要数据提取
为了从IE、Edge、Chrome和Firefox浏览器中提取信誉卡数据,咱们需求先了解下列两个东西:
1.   SQLite数据库结构;
2.   怎么运用DPAPI来解密信誉卡数据;
SQLite是一款抢手的嵌入式数据库,首要用于运用程序实现在本地/客户端的数据存储。许多操作体系、嵌入式体系或Web浏览器都会用它来存储本地数据,并且SQLite还能够支撑多种编程言语。
DPAPI的CryptUnprotectData函数

重要参数解说:
pDataIn[in]
指向DATA_BLOB结构体的指针,该结构体存储了加密数据。
ppszDataDescr[out, optional]
指向加密数据描述字符串的指针
pOptionalEntropy[in, optional]
指向DATA_BLOB结构体的指针,该结构体存储了密钥或其他的熵。
pPromptStruct[in, optional]
指向CRYPTPROTECT_PROMPTSTRUCT结构体的指针,包括提示窗口所显现的时刻、方位和内容,该参数应该设置为NULL.。
pDataOut[out]
指向DATA_BLOB结构体的指针,担任接纳解密数据。
秘要数据提取-Chrome
Chrome SQLite存储文件
下图显现的是Chrome的主动填充数据(Web Data SQLite文件,检查东西为“DB Browser for SQLite”),需求留意的是,Chrome会在独自的数据库表(”credit_cards”)中存储信誉卡数据:

你能够看到,除了card_number域是以加密BlodData存储的之外,一切其他的数据都是以明文方式存储的。下图显现的是其他的主动填充表,这些数据都是没有进行加密的:

[1] [2]  黑客接单网

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/7428.html

(0)

相关推荐

  • 关于禁毒ppt模板(远离毒品ppt模板)

    ppt模板下载免费,整套ppt模板免费下载,禁毒ppt模板

    2022年5月30日
  • 哪个平台能估价游戏账号,哪个平台可以估价游戏账号

    我想对任何玩家来说,都有卖号码的想法。 虽然卖号码可以弥补很多损失,但是不知道市场行情,游戏号码的评估查询平台有什么呢? 选择正规的平台,其实并不容易。 要判断其价值,必须有足够的...

    阅读 2022年10月19日
  • 暴君八项修改器

    《暴君》是一种角色扮演游戏,玩家在游戏中决定王国的状况、角色性格的形成,甚至是剧情的整体走向。 这个暴君的8个修改器可以给玩家很大的力量。 它蕴含无限的生命、永不疲倦、技能瞬间冷却...

    2022年10月31日
  • 超能世界封印之地玩法技巧分享大全,超能世界封印之地玩法技巧分享

    超能世界手游封印之地作为联盟游戏中挑战的复制品,很多伙伴都想知道具体应该如何战斗。 对此,不知情的小伙伴,赶紧来看看给大家准备的相关游戏内容吧。 超能力世界封印之地游戏介绍 1、【...

    攻略 2022年10月15日
  • 手掌有红斑痒按压刺痛(手掌红了一块一按就疼)

    手掌有红斑痒按压刺痛(手掌红了一块一按就疼)可能是皮肤过敏最好到医院检查,不要长时间坐着,海鲜等易过敏食物,是成片的吗不少湿疹前期都是这样的。
    炎症,具有传染性、注意不要喝酒吸烟,但。红点在掌心不突出表面,用过999皮炎

    电商 2021年9月19日
  • yzs是什么牌子,yzs气垫怎么样

    yzs是什么牌子,yzs气垫怎么样相信大家应该都很熟悉气垫。它是一款理想的面部美妆产品,可以更好地创造理想的效果。最重要的作用是及时调整肤色,掩盖瑕疵,更好的遮盖毛孔,更方便携带,也可以随时上妆化妆,而市面上气垫品牌繁多

    生活 2021年9月29日