Nov 0721
Svelare le password nascoste dagli asterischi
Pubblicato da Davide Denicolo alle 17:00 in Browser, Sicurezza
Una delle poche convenzioni adottate da tutti i browser è l'offuscamento del campo Password. Infatti, qualora il sito web contenga tag HTML di tipo <input type="password"..il software provvede in automatico a sostituire le lettere della parola chiave, con un numero identico di asterischi, evitando che chiunque possa leggere la vostra password.
Talvolta mi è capitato di trovarmi d'innanzi ad un form di autenticazione con la password già popolata, senza ricordarmi quale fosse.
Quali sono le possibili soluzioni per recuperarla?
- Utilizzare uno sniffer di rete per intercettare le richieste POST ( non è valido per i canali HTTPS)
- Interrogare il password manager qualora sia previsto ( Firefox lo possiede, Internet Explorer no )
Esiste una terza alternativa e a questo ci viene incontro Javascript.
Basta posizionarsi sulla pagina contenente il campo nascosto, inserire nella barra degli indirizzi questa funzione Javascript e premere INVIO:
javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Password:\n\n" + s); else alert("Non ci sono campi password.");})();
La password verrà visualizzata istantaneamente in un popup e funziona sia con Internet Explorer che con Opera e Firefox
Commenti (11) |
Trackback |
Permalink |
Condividi/Email
Tag: asterischi, browser, hack, password, web
1. Nello, Mercoledì 21 Novembre 2007 ore 21:28
Sembra non funzionare
Linea 1
Carattere 123 '
'type' è nullo o non è un oggetto
2. Davide Denicolo, Mercoledì 21 Novembre 2007 ore 22:41
Nello: piazzati per esempio su www.libero.it, inserisci user e pass senza effettuare login ed inserisci il codice riportato nell'articolo
3. Elisir81, Mercoledì 21 Novembre 2007 ore 23:53
si funziona! io l'ho provato, ma nn con tutti i siti, ad esempio nn sono riuscita con alice...
4. nikk85, Giovedì 22 Novembre 2007 ore 13:11
va solo con alcuni siti!
5. Gilbo, Martedì 27 Novembre 2007 ore 17:39
In effetti ho trovato utile modificare il controllo
if (f[i].type.toLowerCase() == "password")
in
if (f[i].type && f[i].type.toLowerCase() == "password")
così evitiamo l'errore segnalato da Nello.
6. Davide Denicolo, Martedì 27 Novembre 2007 ore 19:29
Gilbo: ottima osservazione, grazie
7. Miki, Venerdì 28 Marzo 2008 ore 21:07
Esistono dei programmi apposta per quello, senza usare il javascript
8. GabrixSoftware, Mercoledì 10 Dicembre 2008 ore 20:03
www.gabrixsoftware.helloweb.eu tutto quello che ti serve per diventare una spia dell'informatica!
Tanti articoli su informatica pc e password... cosa aspetti!
9. Gabrixsoftware, Venerdì 20 Marzo 2009 ore 12:53
Il nuovo sito della gabrixsoftware è www.gabrixsoftware.altervista.org
10. loris, Mercoledì 9 Settembre 2009 ore 18:39
graz.. al tuo programma ce una persona ke entra nelaa chat europa ..ke spia privati e profili permettendosi cosi di fare cose non molto belle ad esempio come fare prestazioni erotike con vlgarita .... graz..al tuo programma questa persona sta facendo del male molte persone e questo non e giusto ne bello il suo nik e cuoreneroazzuro ora il suo numero 333658454 visto ke sei cosi bravo ora cerca di fermalo graz.. molto gentile
11. Gabrixsoftware, Giovedì 1 Ottobre 2009 ore 11:20
Con i programmi contenuti nel sito non si puo fare niente del genere, spia dell'informatica è un modo di dire, non significa che puoi spiare gli altri, impara ad usare le password, a nascondere cose nelle immagini, a mettere al sicuro dati, prima di accusare informati sul sito, con le info presenti in esso non puoi fare del male a nessuno...
Visto che sei cosi bravo, accusa la persona giusta...