整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
浏览器文本输入字段中漏洞的分析表明,大型企业和政府机构网站的HTML源代码中保存了明文密码。发现该问题的专家报告说,他们创建了一个测试扩展程序,可以提取敏感数据并将其轻松上传到Chrome网上应用店。
[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields
https://arxiv.org/abs/2308.16321
Chrome extensions can steal plaintext passwords from websites
https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/
威斯康星大学麦迪逊分校的Asmitt Nayak及其同事在预印本服务器arXiv上发表的一篇论文中指出,“我们发现支撑浏览器扩展功能的粗粒度权限管理模型违背了最小权限原则和完全中介原则。”,并指出不必要的许可请求以及Chrome等浏览器缺乏彻底的安全执法导致了漏洞。
根据研究团队的说法,这次发现的错误是由于扩展程序访问网页内部代码的方式造成的。 许多站点都使用一种称为文档对象模型 (DOM) 的机制,该机制允许您以编程方式操作用 HTML 等编写的文档,但由于扩展可以无限制地访问此 DOM 树的问题, 研究小组解释说,源代码中的敏感数据可以很容易地提取出来。
Google 于 2023 年在 Chrome 中引入了一个名为“Manifest V3”的规范,该规范严格限制了扩展程序可以访问的信息类型,但 Manifest V3 并没有解决这个问题,因为它没有在扩展程序和网页之间创建安全边界。
为了测试Chrome网上应用店检查扩展程序的能力,研究小组上传了一个概念验证扩展程序,假装是基于GPT的助手。 此扩展具有在阅读HTML源代码后提取用户输入的密码的功能,但它显然不包含恶意代码,并且也符合Manifest V3,因此毫无问题地通过了审核并获得批准。 研究小组将扩展设置为“非公开”以防止任何伤害,并在批准后立即将其删除。
研究小组发现了190个可以直接访问密码输入字段的扩展功能程序,其中也有下载数超过10万次的人气扩展功能程序。另外,拥有恶意利用该漏洞权限的扩展功能程序占全体的12.5%,约有1万7300个。
更严重的是,研究人员发现,许多网站,包括拥有大量用户的大型和政府网站,都以纯文本格式存储用户的密码。
发现问题的主要站点如下。
・亚马逊(amazon.com):包含安全代码的信用卡信息和邮政编码在页面的源代码上以明文形式显示
·Gmail(gmail.com):在HTML源代码上保存了明文密码
・Cloudflare(Cloudflare.com):同上
・Facebook(facebook.com):可通过DOM API提取用户输入
・花旗银行(citibank.com):同上
・美国国内税收厅(irs.gov):社会保障号码(SSN)在网页的源代码上以明文形式显示
下面显示了登录ID和密码的实际提取方式。
“谷歌和亚马逊等主要在线市场尚未对信用卡输入字段实施任何保护,鉴于这些网站的规模和交易量,这些网站不受保护尤其令人担忧,”研究小组在论文中写道。
亚马逊发言人在回应这一声明时表示,“我们鼓励浏览器和扩展程序开发人员利用安全最佳实践来进一步保护使用其服务的客户。” 谷歌发言人也表示,他们正在调查这个问题。
谷歌正在推出一项功能,当Chrome中安装的扩展程序从网上商店中删除或被发现包含恶意软件时,它会警告用户。 此功能将在Chrome 117中正式实现,但据IT新闻网站BleepingComputer报道,最新的Chrome 116可以通过在地址栏中输入“chrome://flags/#safety-check-extensions”来激活这个功能。
在网页上查询数据经常会遇到一些文字无法复制的情况。好不容易找到了需要的文字却复制不出来,确实让人很闹心。那么有什么办法可以绕开这种限制,将网页的文字复制下来为我所用呢?实际上只要明白了其中的原理,想要复制这些文字并不是什么难事。接下来小雨教你八种方法,让你轻松绕开这些网页的限制,将文字复制下来。
由于一些效果渲染的原因,现在的主流网站都是基于webkit内核设计的。在一些网站上限制文字复制的代码在IE浏览器并不能顺利执行。利用这个原理,我们可以将无法复制文字的网址复制粘贴到ie浏览器里面尝试一下,说不准会有意外的惊喜。
限制复制网文字的实现方法大多都是通过Javascript代码来实现的,也可以利用Javascript代码来解除限制。
在浏览器地址栏中输入: javascript:void($={}); 然后按回车键,然后网页上的内容就任由你复制啦,注意要手动输入,复制无效哦。如果输入后还是无效的话,可以先将这个网页按F5键刷新一下,再在浏览器中输入上面的代码。
将无法复制的网页保存在本地计算机也可以解除对网页文字的限制,具体操作方法为:
利用快捷键【Ctrl+S】保存当前网页,并且将保存类型选择这“网页 仅HTML”。然后双击打开刚刚保存的网页文件,你会发现上面的文字已经可以直接复制了。
在Webkit内核的浏览中有一个非常好用的功能叫“审查元素”。通过这个功能可以查看加载到当前网页上的绝大多数内容。对于限制复制的文字也当然也不在话下。
在需要复制的文字上点右键,然后选择【审查元素】便可以看到网页的源代码并且定位到当前浏览的位置。在这里的所有文字都是以普通文本方式显示的,想怎么复制就怎么复制。
在使用上一种审查元素的方法时,有时会遇到网页把右键也屏蔽的情况,根本无法使用【审查元素】的方法。此时,只要按下快捷键【Ctrl+U】便可以查看该网页的源代码。尽管普通人根本看不懂这个源代码,但是再按下【Ctrl+F】的快捷键搜索一下你要在网页中复制的一小段内容,就可以快速定位到显示这些内容的代码段。接下来就可以直接复制你想要的内容了。
网页在打印预览模式下是不执行任何JS代码的,所以只要在网页上按下【Ctrl+P】进入打印预览模式,就可以在预览窗口随意的复制上面的文字了。
如果以上这几种方法都不能解决问题的话,建议使用专业的浏览器插件来完成这个工作。在浏览器上安装插件之后,今后遇到无法复制的内容时只要点一下这个插件就可以快速解除限制。这样的插件有很多,但是为了避免广告嫌疑,这里就不具体给出它的名称了。如有需要大家可以自行查找。
现在OCR识别技术已经非常成熟了,无论是手机还是电脑都能轻松完成这个操作。最简单的方法就是将无法复制的网页用手机拍照,然后通过手机QQ或者微信都可以完成图片文字的识别。只要是你拍的图片清晰度没有问题,一般都能准确识别上面的内容。
以上就是小雨为大家介绍的8种方法,轻松解除网页文字无法复制的限制。这8种方法各有特点,而且各自的使用场景也不一样,但是总有一种适合你,也总有一种能解决你的问题。
你学会了吗?你还有哪些好的办法吗?
SingleFile 是一个浏览器插件兼容 Chrome、Firefox(桌面端和移动端)、Microsoft Edge、Vivaldi、Brave、Waterfox、Yandex 和 Opera 浏览器。它可以帮助你将一个完整的网页保存为一个单一的 HTML 文件。另一个版本SingleFileZ 是一款可以把一个网页包括图片、样式完整打包压缩后保存为 HTML 的浏览器扩展,并且能够让浏览器实现自解压。SingleFileZ很有意思,SingleFileZ 与 SingleFile 功能完全相同,只不过增加了压缩功能,使用 SingleFile 下载后的单一 HTML 文件为 627KB,而使用 SingleFileZ 下载后的单一 HTML 文件为 265 KB。而更有意思的是,可以直接使用压缩工具打开由 SingleFileZ 生成的 HTML 文件,不过要打开这个压缩 HTML 文件,需要 Chrome 启动时添加 –allow-file-access-from-files 参数。
SingleFile在主流的浏览器插件商店可用:
也可以下载插件的 zip 包 – https://github.com/gildas-lormeau/SingleFile/archive/master.zip,拖曳到浏览器插件管理界面进行安装。
SingleFile的使用非常简单,等待网页完全加载完毕,点击插件工具栏上的 SingleFile 按钮即可保存页面,下载的 HTML 文件保存在浏览器设置的本地文件夹。在处理一个页面时,你可以再次点击该按钮来取消该动作。
*请认真填写需求信息,我们会在24小时内与您取得联系。
