浏览器的主动填充功用真的安全吗?我看未必!

访客5年前黑客文章1274

在今日这个“芯片当道”的年代,信誉卡数据被盗事情的发作概率也一直在上升,由于进犯者能够运用各式各样的办法来盗取信誉卡数据,而一块小小的芯片并不能确保信誉卡在 *** 环境中的安全。

中间人进犯、歹意软件以及Rootkit进犯呈现的频率越来越高,进犯者乃至还能够运用方针用户设备中的安全漏洞长途/本地盗取数据。当进犯者成功访问到方针数据后,他们会将偷盗来的信誉卡数据发送到自己的长途服务器中,然后运用这些信息进行匿名付出或在地下暗盘中出售以获取不合法利益。
在这篇文章中,咱们将跟咱们进犯者怎么运用现在四大抢手浏览器(Internet Explorer (IE)、Microsoft Edge、Google Chrome以及Mozilla Firefox)来盗取信誉卡数据,并评论相应浏览器所面对的安全危险。
表单主动填充功用
现代浏览器能够保存用户的各种信息(包括信誉卡数据在内),而这种功用也能够给用户的日常运用供给快捷,但与此同时这种功用也带来了许多安全问题。让咱们先看一看浏览器的“主动填充”功用,并了解其作业机制。
浏览器能够存储HTML表单数据,并在需求运用这些信息的时分主动填充到正确的表单字段中,这样能够防止让用户重复输入各种数据,并加速在线表单的填写速度。
IE、Edge、Chrome和Firefox都会调用这种主动填充功用,但不幸的是,它们存储灵敏信息的办法是存在安全问题的。鄙人图中,你能够看到主动填充功用的一个比如:

映射主动填充存储内容
依据不同版别的操作体系,浏览器会将主动填充数据存储在不同的方位。接下来,咱们一同映射出这些方位所存储的数据。
IE和Edge会将主动填充数据存储鄙人列注册表键值中:
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsFormData
HKEY_CURRENT_USERSoftwareClassesLocalSettingsSoftwareMicrosoftWindowsCurrentVersion
AppContainerStoragemicrosoft.microsoftedge_8wekyb3d8bbweMicrosoftEdgeIntelliFormsFormData
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsStorage1
HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerIntelliFormsStorage2
Chrome会将这些数据存储在一个SQLite数据库文件中:
%LocalAppData%GoogleChromeUserDataDefaultWeb Data
Firefox相同会将这些数据存储在一个SQLite数据库文件中:
%AppData%MozillaFirefoxProfiles{uniqString}.defaultformhistory.sqlite
需求留意的是,IE、Edge、Chrome和Firefox在存储主动填充数据之前,都会运用Windows DPAPI(数据维护运用编程接口)来对主动填充数据进行加密,并在运用之前运用DPAPI进行数据解密。
问题就在于,会在用户环境下调用DPAPI,在加密数据时,彻底不需求用户干涉或输入额定暗码。而此刻任何脚本或代码都能够运行在同一用户环境下(不需求特别权限或提权),因而歹意代码就能够仿照浏览器调用DPAPI来对数据进行加密解密了。
当然了,咱们也有更安全的DPAPI运用办法,但在解密过程中需求用户干涉,咱们待会儿再评论。
Firefox在存储主动填充数据时,彻底不会对数据进行加密。本文针对的首要是信誉卡数据,但浏览器中还会存储各种其他的灵敏信息,例如用户名、暗码和隐私链接等等,而这些数据都会存储在同一文件或注册表键值之中。
秘要数据提取
为了从IE、Edge、Chrome和Firefox浏览器中提取信誉卡数据,咱们需求先了解下列两个东西:
1.   SQLite数据库结构;
2.   怎么运用DPAPI来解密信誉卡数据;
SQLite是一款抢手的嵌入式数据库,首要用于运用程序实现在本地/客户端的数据存储。许多操作体系、嵌入式体系或Web浏览器都会用它来存储本地数据,并且SQLite还能够支撑多种编程言语。
DPAPI的CryptUnprotectData函数

重要参数解说:
pDataIn[in]
指向DATA_BLOB结构体的指针,该结构体存储了加密数据。
ppszDataDescr[out, optional]
指向加密数据描述字符串的指针
pOptionalEntropy[in, optional]
指向DATA_BLOB结构体的指针,该结构体存储了密钥或其他的熵。
pPromptStruct[in, optional]
指向CRYPTPROTECT_PROMPTSTRUCT结构体的指针,包括提示窗口所显现的时刻、方位和内容,该参数应该设置为NULL.。
pDataOut[out]
指向DATA_BLOB结构体的指针,担任接纳解密数据。
秘要数据提取-Chrome
Chrome SQLite存储文件
下图显现的是Chrome的主动填充数据(Web Data SQLite文件,检查东西为“DB Browser for SQLite”),需求留意的是,Chrome会在独自的数据库表(”credit_cards”)中存储信誉卡数据:

你能够看到,除了card_number域是以加密BlodData存储的之外,一切其他的数据都是以明文方式存储的。下图显现的是其他的主动填充表,这些数据都是没有进行加密的:

[1] [2]  黑客接单网

相关文章

梦见我老婆去赌博输了钱叫都叫不回来

DC可以发现,出错了,但是被afdko捕获了。 2、在防火墙中对远程桌面服务端口(3389)进行阻断在域中新建一个用于测试的账户topsec,一个域管理员admin梦见我老婆去赌博输了钱叫都叫不回来,...

黑客在线找人隐私在线接单_催收会找黑客吗-找黑客可以把通话记录删了吗

对应代码我:给我一杯茶吧。 Continue:这篇文章假定读者现已了解Return-Oriented Programming (ROP) 的基本概念,所以仅仅介绍BROP的完成原理,假如还不清楚什么是...

我男朋友晚上又出去赌钱去了,他晚上回来,我该不

删除wls9_async_response.war和wls-wsat.war文件及相关文件夹并重启Weblogic服务。 具体路径为:并没有遇到失败的情况· Windows Server 2008 R...

将CRLF注入到PHP的cURL选项中

这是一篇关于将回车符和换行符注入调用内部 API的帖子。一年前我在GitHub上写了这篇文章的关键,但GitHub不是特别合适发布博客文章。你现在所看到的这 篇文章我添加了更多细节,所以它不是是直接复...

监控手机,黑客专家怎么联系,黑客怎么找qq服务器的ip

同理无法注入的部分:提权GETSHELL 发现到挺有意思的是个内网,是个典型内网服务做了端口路由映射公网。 看起来安全做的很巨大尚。 if ($zipfile['error'] == 4) {...

喔在网上赌钱输了万多能要回来吗

那么,拨打电话的问题处理了,那些公司的“智能机器人”是怎么运转的呢?2、password (无变化)网络金融违法指的是针对银行等金融机构的网络进犯,在曩昔许多传统的网络违法安排首要针对的是PoS机歹意...