整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
瀏覽器文本輸入字段中漏洞的分析表明,大型企業和政府機構網站的HTML源代碼中保存了明文密碼。發現該問題的專家報告說,他們創建了一個測試擴展程序,可以提取敏感數據并將其輕松上傳到Chrome網上應用店。
[2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields
https://arxiv.org/abs/2308.16321
Chrome extensions can steal plaintext passwords from websites
https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/
威斯康星大學麥迪遜分校的Asmitt Nayak及其同事在預印本服務器arXiv上發表的一篇論文中指出,“我們發現支撐瀏覽器擴展功能的粗粒度權限管理模型違背了最小權限原則和完全中介原則。”,并指出不必要的許可請求以及Chrome等瀏覽器缺乏徹底的安全執法導致了漏洞。
根據研究團隊的說法,這次發現的錯誤是由于擴展程序訪問網頁內部代碼的方式造成的。 許多站點都使用一種稱為文檔對象模型 (DOM) 的機制,該機制允許您以編程方式操作用 HTML 等編寫的文檔,但由于擴展可以無限制地訪問此 DOM 樹的問題, 研究小組解釋說,源代碼中的敏感數據可以很容易地提取出來。
Google 于 2023 年在 Chrome 中引入了一個名為“Manifest V3”的規范,該規范嚴格限制了擴展程序可以訪問的信息類型,但 Manifest V3 并沒有解決這個問題,因為它沒有在擴展程序和網頁之間創建安全邊界。
為了測試Chrome網上應用店檢查擴展程序的能力,研究小組上傳了一個概念驗證擴展程序,假裝是基于GPT的助手。 此擴展具有在閱讀HTML源代碼后提取用戶輸入的密碼的功能,但它顯然不包含惡意代碼,并且也符合Manifest V3,因此毫無問題地通過了審核并獲得批準。 研究小組將擴展設置為“非公開”以防止任何傷害,并在批準后立即將其刪除。
研究小組發現了190個可以直接訪問密碼輸入字段的擴展功能程序,其中也有下載數超過10萬次的人氣擴展功能程序。另外,擁有惡意利用該漏洞權限的擴展功能程序占全體的12.5%,約有1萬7300個。
更嚴重的是,研究人員發現,許多網站,包括擁有大量用戶的大型和政府網站,都以純文本格式存儲用戶的密碼。
發現問題的主要站點如下。
?亞馬遜(amazon.com):包含安全代碼的信用卡信息和郵政編碼在頁面的源代碼上以明文形式顯示
·Gmail(gmail.com):在HTML源代碼上保存了明文密碼
?Cloudflare(Cloudflare.com):同上
?Facebook(facebook.com):可通過DOM API提取用戶輸入
?花旗銀行(citibank.com):同上
?美國國內稅收廳(irs.gov):社會保障號碼(SSN)在網頁的源代碼上以明文形式顯示
下面顯示了登錄ID和密碼的實際提取方式。
“谷歌和亞馬遜等主要在線市場尚未對信用卡輸入字段實施任何保護,鑒于這些網站的規模和交易量,這些網站不受保護尤其令人擔憂,”研究小組在論文中寫道。
亞馬遜發言人在回應這一聲明時表示,“我們鼓勵瀏覽器和擴展程序開發人員利用安全最佳實踐來進一步保護使用其服務的客戶。” 谷歌發言人也表示,他們正在調查這個問題。
谷歌正在推出一項功能,當Chrome中安裝的擴展程序從網上商店中刪除或被發現包含惡意軟件時,它會警告用戶。 此功能將在Chrome 117中正式實現,但據IT新聞網站BleepingComputer報道,最新的Chrome 116可以通過在地址欄中輸入“chrome://flags/#safety-check-extensions”來激活這個功能。
在網頁上查詢數據經常會遇到一些文字無法復制的情況。好不容易找到了需要的文字卻復制不出來,確實讓人很鬧心。那么有什么辦法可以繞開這種限制,將網頁的文字復制下來為我所用呢?實際上只要明白了其中的原理,想要復制這些文字并不是什么難事。接下來小雨教你八種方法,讓你輕松繞開這些網頁的限制,將文字復制下來。
?
由于一些效果渲染的原因,現在的主流網站都是基于webkit內核設計的。在一些網站上限制文字復制的代碼在IE瀏覽器并不能順利執行。利用這個原理,我們可以將無法復制文字的網址復制粘貼到ie瀏覽器里面嘗試一下,說不準會有意外的驚喜。
?
限制復制網文字的實現方法大多都是通過Javascript代碼來實現的,也可以利用Javascript代碼來解除限制。
在瀏覽器地址欄中輸入: javascript:void($={}); 然后按回車鍵,然后網頁上的內容就任由你復制啦,注意要手動輸入,復制無效哦。如果輸入后還是無效的話,可以先將這個網頁按F5鍵刷新一下,再在瀏覽器中輸入上面的代碼。
?
將無法復制的網頁保存在本地計算機也可以解除對網頁文字的限制,具體操作方法為:
?
利用快捷鍵【Ctrl+S】保存當前網頁,并且將保存類型選擇這“網頁 僅HTML”。然后雙擊打開剛剛保存的網頁文件,你會發現上面的文字已經可以直接復制了。
?
在Webkit內核的瀏覽中有一個非常好用的功能叫“審查元素”。通過這個功能可以查看加載到當前網頁上的絕大多數內容。對于限制復制的文字也當然也不在話下。
在需要復制的文字上點右鍵,然后選擇【審查元素】便可以看到網頁的源代碼并且定位到當前瀏覽的位置。在這里的所有文字都是以普通文本方式顯示的,想怎么復制就怎么復制。
?
在使用上一種審查元素的方法時,有時會遇到網頁把右鍵也屏蔽的情況,根本無法使用【審查元素】的方法。此時,只要按下快捷鍵【Ctrl+U】便可以查看該網頁的源代碼。盡管普通人根本看不懂這個源代碼,但是再按下【Ctrl+F】的快捷鍵搜索一下你要在網頁中復制的一小段內容,就可以快速定位到顯示這些內容的代碼段。接下來就可以直接復制你想要的內容了。
網頁在打印預覽模式下是不執行任何JS代碼的,所以只要在網頁上按下【Ctrl+P】進入打印預覽模式,就可以在預覽窗口隨意的復制上面的文字了。
?
如果以上這幾種方法都不能解決問題的話,建議使用專業的瀏覽器插件來完成這個工作。在瀏覽器上安裝插件之后,今后遇到無法復制的內容時只要點一下這個插件就可以快速解除限制。這樣的插件有很多,但是為了避免廣告嫌疑,這里就不具體給出它的名稱了。如有需要大家可以自行查找。
?
現在OCR識別技術已經非常成熟了,無論是手機還是電腦都能輕松完成這個操作。最簡單的方法就是將無法復制的網頁用手機拍照,然后通過手機QQ或者微信都可以完成圖片文字的識別。只要是你拍的圖片清晰度沒有問題,一般都能準確識別上面的內容。
?
以上就是小雨為大家介紹的8種方法,輕松解除網頁文字無法復制的限制。這8種方法各有特點,而且各自的使用場景也不一樣,但是總有一種適合你,也總有一種能解決你的問題。
你學會了嗎?你還有哪些好的辦法嗎?
SingleFile 是一個瀏覽器插件兼容 Chrome、Firefox(桌面端和移動端)、Microsoft Edge、Vivaldi、Brave、Waterfox、Yandex 和 Opera 瀏覽器。它可以幫助你將一個完整的網頁保存為一個單一的 HTML 文件。另一個版本SingleFileZ 是一款可以把一個網頁包括圖片、樣式完整打包壓縮后保存為 HTML 的瀏覽器擴展,并且能夠讓瀏覽器實現自解壓。SingleFileZ很有意思,SingleFileZ 與 SingleFile 功能完全相同,只不過增加了壓縮功能,使用 SingleFile 下載后的單一 HTML 文件為 627KB,而使用 SingleFileZ 下載后的單一 HTML 文件為 265 KB。而更有意思的是,可以直接使用壓縮工具打開由 SingleFileZ 生成的 HTML 文件,不過要打開這個壓縮 HTML 文件,需要 Chrome 啟動時添加 –allow-file-access-from-files 參數。
SingleFile在主流的瀏覽器插件商店可用:
也可以下載插件的 zip 包 – https://github.com/gildas-lormeau/SingleFile/archive/master.zip,拖曳到瀏覽器插件管理界面進行安裝。
SingleFile的使用非常簡單,等待網頁完全加載完畢,點擊插件工具欄上的 SingleFile 按鈕即可保存頁面,下載的 HTML 文件保存在瀏覽器設置的本地文件夾。在處理一個頁面時,你可以再次點擊該按鈕來取消該動作。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
