瀏覽器文本輸入字段中漏洞的分析表明�,大型企業(yè)和政府機構(gòu)網(wǎng)站的HTML源代碼中保存了明文密碼���。發(fā)現(xiàn)該問題的專家報告說���,他們創(chuàng)建了一個測試擴展程序����,可以提取敏感數(shù)據(jù)并將其輕松上傳到Chrome網(wǎng)上應(yīng)用店�。
[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields
https://arxiv.org/abs/2308.16321
Chrome extensions can steal plaintext passwords from websites
https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/
威斯康星大學(xué)麥迪遜分校的Asmitt Nayak及其同事在預(yù)印本服務(wù)器arXiv上發(fā)表的一篇論文中指出,“我們發(fā)現(xiàn)支撐瀏覽器擴展功能的粗粒度權(quán)限管理模型違背了最小權(quán)限原則和完全中介原則���。”���,并指出不必要的許可請求以及Chrome等瀏覽器缺乏徹底的安全執(zhí)法導(dǎo)致了漏洞。
根據(jù)研究團隊的說法���,這次發(fā)現(xiàn)的錯誤是由于擴展程序訪問網(wǎng)頁內(nèi)部代碼的方式造成的。 許多站點都使用一種稱為文檔對象模型 (DOM) 的機制����,該機制允許您以編程方式操作用 HTML 等編寫的文檔����,但由于擴展可以無限制地訪問此 DOM 樹的問題���, 研究小組解釋說����,源代碼中的敏感數(shù)據(jù)可以很容易地提取出來。
Google 于 2023 年在 Chrome 中引入了一個名為“Manifest V3”的規(guī)范����,該規(guī)范嚴(yán)格限制了擴展程序可以訪問的信息類型�,但 Manifest V3 并沒有解決這個問題�,因為它沒有在擴展程序和網(wǎng)頁之間創(chuàng)建安全邊界。
為了測試Chrome網(wǎng)上應(yīng)用店檢查擴展程序的能力�,研究小組上傳了一個概念驗證擴展程序����,假裝是基于GPT的助手����。 此擴展具有在閱讀HTML源代碼后提取用戶輸入的密碼的功能����,但它顯然不包含惡意代碼,并且也符合Manifest V3,因此毫無問題地通過了審核并獲得批準(zhǔn)。 研究小組將擴展設(shè)置為“非公開”以防止任何傷害�,并在批準(zhǔn)后立即將其刪除���。
研究小組發(fā)現(xiàn)了190個可以直接訪問密碼輸入字段的擴展功能程序�,其中也有下載數(shù)超過10萬次的人氣擴展功能程序���。另外�,擁有惡意利用該漏洞權(quán)限的擴展功能程序占全體的12.5%,約有1萬7300個。
更嚴(yán)重的是�,研究人員發(fā)現(xiàn)�,許多網(wǎng)站���,包括擁有大量用戶的大型和政府網(wǎng)站����,都以純文本格式存儲用戶的密碼。
發(fā)現(xiàn)問題的主要站點如下。
?亞馬遜(amazon.com):包含安全代碼的信用卡信息和郵政編碼在頁面的源代碼上以明文形式顯示
·Gmail(gmail.com):在HTML源代碼上保存了明文密碼
?Cloudflare(Cloudflare.com):同上
?Facebook(facebook.com):可通過DOM API提取用戶輸入
?花旗銀行(citibank.com):同上
?美國國內(nèi)稅收廳(irs.gov):社會保障號碼(SSN)在網(wǎng)頁的源代碼上以明文形式顯示
下面顯示了登錄ID和密碼的實際提取方式���。
“谷歌和亞馬遜等主要在線市場尚未對信用卡輸入字段實施任何保護,鑒于這些網(wǎng)站的規(guī)模和交易量,這些網(wǎng)站不受保護尤其令人擔(dān)憂���,”研究小組在論文中寫道。
亞馬遜發(fā)言人在回應(yīng)這一聲明時表示���,“我們鼓勵瀏覽器和擴展程序開發(fā)人員利用安全最佳實踐來進一步保護使用其服務(wù)的客戶����?���!?谷歌發(fā)言人也表示�,他們正在調(diào)查這個問題。
谷歌正在推出一項功能,當(dāng)Chrome中安裝的擴展程序從網(wǎng)上商店中刪除或被發(fā)現(xiàn)包含惡意軟件時���,它會警告用戶。 此功能將在Chrome 117中正式實現(xiàn),但據(jù)IT新聞網(wǎng)站BleepingComputer報道,最新的Chrome 116可以通過在地址欄中輸入“chrome://flags/#safety-check-extensions”來激活這個功能。
在網(wǎng)頁上查詢數(shù)據(jù)經(jīng)常會遇到一些文字無法復(fù)制的情況���。好不容易找到了需要的文字卻復(fù)制不出來,確實讓人很鬧心。那么有什么辦法可以繞開這種限制�,將網(wǎng)頁的文字復(fù)制下來為我所用呢���?實際上只要明白了其中的原理���,想要復(fù)制這些文字并不是什么難事���。接下來小雨教你八種方法�,讓你輕松繞開這些網(wǎng)頁的限制�,將文字復(fù)制下來。
?
1����、切換IE內(nèi)核
由于一些效果渲染的原因���,現(xiàn)在的主流網(wǎng)站都是基于webkit內(nèi)核設(shè)計的����。在一些網(wǎng)站上限制文字復(fù)制的代碼在IE瀏覽器并不能順利執(zhí)行����。利用這個原理,我們可以將無法復(fù)制文字的網(wǎng)址復(fù)制粘貼到ie瀏覽器里面嘗試一下,說不準(zhǔn)會有意外的驚喜�。
?
2����、使用JavaScript代碼解除限制
限制復(fù)制網(wǎng)文字的實現(xiàn)方法大多都是通過Javascript代碼來實現(xiàn)的�,也可以利用Javascript代碼來解除限制���。
在瀏覽器地址欄中輸入: javascript:void($={}); 然后按回車鍵���,然后網(wǎng)頁上的內(nèi)容就任由你復(fù)制啦�,注意要手動輸入,復(fù)制無效哦���。如果輸入后還是無效的話,可以先將這個網(wǎng)頁按F5鍵刷新一下����,再在瀏覽器中輸入上面的代碼�。
?
3����、保存網(wǎng)頁格式
將無法復(fù)制的網(wǎng)頁保存在本地計算機也可以解除對網(wǎng)頁文字的限制,具體操作方法為:
?
利用快捷鍵【Ctrl+S】保存當(dāng)前網(wǎng)頁���,并且將保存類型選擇這“網(wǎng)頁 僅HTML”。然后雙擊打開剛剛保存的網(wǎng)頁文件���,你會發(fā)現(xiàn)上面的文字已經(jīng)可以直接復(fù)制了。
?
4�、審查元素
在Webkit內(nèi)核的瀏覽中有一個非常好用的功能叫“審查元素”���。通過這個功能可以查看加載到當(dāng)前網(wǎng)頁上的絕大多數(shù)內(nèi)容����。對于限制復(fù)制的文字也當(dāng)然也不在話下�。
在需要復(fù)制的文字上點右鍵,然后選擇【審查元素】便可以看到網(wǎng)頁的源代碼并且定位到當(dāng)前瀏覽的位置����。在這里的所有文字都是以普通文本方式顯示的���,想怎么復(fù)制就怎么復(fù)制����。
?
5����、查看源代碼
在使用上一種審查元素的方法時,有時會遇到網(wǎng)頁把右鍵也屏蔽的情況����,根本無法使用【審查元素】的方法�。此時����,只要按下快捷鍵【Ctrl+U】便可以查看該網(wǎng)頁的源代碼。盡管普通人根本看不懂這個源代碼���,但是再按下【Ctrl+F】的快捷鍵搜索一下你要在網(wǎng)頁中復(fù)制的一小段內(nèi)容,就可以快速定位到顯示這些內(nèi)容的代碼段����。接下來就可以直接復(fù)制你想要的內(nèi)容了�。
6����、打印法
網(wǎng)頁在打印預(yù)覽模式下是不執(zhí)行任何JS代碼的,所以只要在網(wǎng)頁上按下【Ctrl+P】進入打印預(yù)覽模式�,就可以在預(yù)覽窗口隨意的復(fù)制上面的文字了����。
?
7�、插件法
如果以上這幾種方法都不能解決問題的話����,建議使用專業(yè)的瀏覽器插件來完成這個工作。在瀏覽器上安裝插件之后,今后遇到無法復(fù)制的內(nèi)容時只要點一下這個插件就可以快速解除限制�。這樣的插件有很多�,但是為了避免廣告嫌疑�,這里就不具體給出它的名稱了。如有需要大家可以自行查找。
?
8�、OCR識別
現(xiàn)在OCR識別技術(shù)已經(jīng)非常成熟了����,無論是手機還是電腦都能輕松完成這個操作����。最簡單的方法就是將無法復(fù)制的網(wǎng)頁用手機拍照,然后通過手機QQ或者微信都可以完成圖片文字的識別����。只要是你拍的圖片清晰度沒有問題�,一般都能準(zhǔn)確識別上面的內(nèi)容���。
?
以上就是小雨為大家介紹的8種方法����,輕松解除網(wǎng)頁文字無法復(fù)制的限制。這8種方法各有特點,而且各自的使用場景也不一樣����,但是總有一種適合你����,也總有一種能解決你的問題���。
你學(xué)會了嗎���?你還有哪些好的辦法嗎���?
hrome瀏覽器完美保存整個網(wǎng)頁---頁面離線保存
SingleFile 是一個瀏覽器插件兼容 Chrome���、Firefox(桌面端和移動端)�、Microsoft Edge、Vivaldi���、Brave、Waterfox����、Yandex 和 Opera 瀏覽器����。它可以幫助你將一個完整的網(wǎng)頁保存為一個單一的 HTML 文件�。另一個版本SingleFileZ 是一款可以把一個網(wǎng)頁包括圖片、樣式完整打包壓縮后保存為 HTML 的瀏覽器擴展,并且能夠讓瀏覽器實現(xiàn)自解壓���。SingleFileZ很有意思,SingleFileZ 與 SingleFile 功能完全相同,只不過增加了壓縮功能,使用 SingleFile 下載后的單一 HTML 文件為 627KB,而使用 SingleFileZ 下載后的單一 HTML 文件為 265 KB���。而更有意思的是,可以直接使用壓縮工具打開由 SingleFileZ 生成的 HTML 文件,不過要打開這個壓縮 HTML 文件���,需要 Chrome 啟動時添加 –allow-file-access-from-files 參數(shù)。
下載使用
SingleFile在主流的瀏覽器插件商店可用:
- Firefox: https://addons.mozilla.org/firefox/addon/single-file
- Chrome: https://chrome.google.com/extensions/detail/mpiodijhokgodhhofbcjdecpffjipkle
- Microsoft Edge: https://microsoftedge.microsoft.com/addons/detail/efnbkdcfmcmnhlkaijjjmhjjgladedno
也可以下載插件的 zip 包 – https://github.com/gildas-lormeau/SingleFile/archive/master.zip����,拖曳到瀏覽器插件管理界面進行安裝�。
SingleFile的使用非常簡單���,等待網(wǎng)頁完全加載完畢�,點擊插件工具欄上的 SingleFile 按鈕即可保存頁面�,下載的 HTML 文件保存在瀏覽器設(shè)置的本地文件夾。在處理一個頁面時����,你可以再次點擊該按鈕來取消該動作����。
額外的功能
- 選擇保存整個標(biāo)簽頁面���、選定的內(nèi)容�、選定的框架
- 一鍵處理多個標(biāo)簽頁并選擇保存
- 給網(wǎng)頁添加高亮字體、筆記����、移除內(nèi)容后保存
- 自動化下載
- 自定義保存到 Google Drive 或 GitHub
GitHub 地址:
- https://github.com/gildas-lormeau/SingleFile
依托于網(wǎng)站的互聯(lián)網(wǎng)內(nèi)容基于所在服務(wù)器的穩(wěn)定性���,當(dāng)我們需要不時參考一些網(wǎng)頁時�,最好使用 SingleFile 將它們保存到本地����;SingleFile 可以一比一復(fù)制下載任意網(wǎng)頁到單個 HTML,方便管理又不是很占內(nèi)存����,實在是一款數(shù)據(jù)安全神器����。還有另一個不錯的Joplin值得推薦����!本文不介紹了����。
