חשיפת סיסמאות בשיטה פשוטה

By | מרץ 29, 2016
4 Comments

בפוסט זה אסביר כיצד ניתן לחשוף סיסמאות לאתרי אינטרנט באמצעות מנהל הסיסמאות של google chrome בקלות.

השיטה עובדת בצורה לוקאלית ובה שני שלבים פשוטים: הראשון, מציאת כל האתרים בהם שמורה הסיסמא באופן לוקאלי והשני שינוי קל בקוד האתר על מנת שיציג לנו את הסיסמא.

 

בקשת סיסמא מהמשתמש

ראשית ננסה להבין כיצד אתר אינטרנט יכול לבקש סיסמא מהמשתמש,
בשביל זה נשתמש בחלון למפתחים של הדפדפן כרום, לחיצה על כפתור ה -F12 תפתח אותו ( DevTool).

 

google chrome devtool

כעת נשתמש באפשרות ה – inspect element ע"י לחיצה בלחצן inspect element butten 2 (ממוקם בצד ימין ) ובעזרתו נצביע על המקום להכנסת סיסמא.

password_input_box_3
מה שיקרה זה שנקפוץ לאותה שורה בקוד בה ניתן לראות את המאפיינים של השדה.

<input type="password" class="inputtext" name="pass" id="pass" tabindex="2">

אנחנו מבינים שכאשר אנחנו מכניסים סיסמא לתיבת input כאשר הסוג שלה הוא password במקום לראות את הסיסמא נראה *(כוכביות),
לעומת זאת כאשר אנחנו מכנסים לתיבה שליידה ניתן לראות את הטקסט.

 

בואו נבדוק איך התיבה ליד בנוייה, נחזור על הפעולה רק שהפעם נצביע על חלונית "שם המשתמש":

email_input_box_4

הפעם ניתן לראות סוג החלונית הינו email :

<input type="email" class="inputtext" name="email" id="email" value="" tabindex="1">

ובמקרים אחרים הוא יהיה text :

<input type="text" class="inputtext _58mg _5dba _2ph-" data-type="text" name="firstname" aria-required="1" placeholder="" id="u_0_3" aria-label="שם פרטי">

בואו ננסה לשנות את שדה ה- type  מ -password ל text  ונראה מה יקרה, באמצעות ה devTool נערוך את המאפיין

change_value_5

 

במקום השורה :

<input type="password" class="inputtext" name="pass" id="pass" tabindex="2">

נקבל:

<input type="text" class="inputtext" name="pass" id="pass" tabindex="2">

נוכל לראות שכרגע אפשר לראות את הסיסמא

password_input_box_6

עד עכשיו גילנו כיצד ניתן לגלות (דיי בקלות) סיסמאות מוסתרות, אבל איך זה עוזר לנו ?

כלי ניהול הסיסמאות

פה נכנסים הדפדפנים לעזרתנו, הדפדן שומר בשבילנו (כל עוד לא צויין אחרת) את המחרוזות שאנחנו מקלידים באתרים, ובניהם סיסמאות.
לכן ברגע שנשב על מחשב של מישהו נוכל בקלות להכנס לדף התחברות ולגלות את שם המשתמש והסיסמא.

אבל עדיין אנחנו צריכים לדעת שהוא התחבר לאותו אתר ושמר את הסיסמא.

אז זהו שלא, לדפדנים יש password manager אשר שומרים את כל האתרים שהתחברנו אליהם, שמות המשתמש והסיסמאות.
לדוגמא בגוגל כרום נוכל לראות בהגדרות את כלל הסיסמאות שלנו (לינק למעבר לpm של כרום)

במידה וננסה לראות את הסיסמא עצמה נתבקש להכניס את סיסמאת החיבור שלנו למערכת ההפעלה :
password_7

אבל אנחנו כבר מצאנו דרך לראות את הסיסמאות, ולכן כל מה שנשאר זה לגלוש לאתרים שהדפדפן שמר לנו את הסיסמאות, ולבצע את אותן פעולות המתוארות מעלה.

 

לסיכום

ראינו דרך נחמדה לשימוש בפ'יצר של אחסון סיסמאות על מנת להוציא את הסיסמאות ללא כל כלי.

דירוג

Comments

comments

Related Posts

4 thoughts on “חשיפת סיסמאות בשיטה פשוטה

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *