Naršyklės automatinio užpildymo sukčiavimas naudojant paslėptus formos laukus - saugokitės ir būkite saugūs

2018-09-30 10:52:26
Pagrindinis·Kitas·Naršyklės automatinio užpildymo sukčiavimas naudojant paslėptus formos laukus - saugokitės ir būkite saugūs

Jei visose jūsų lankomose svetainėse naudojote žiniatinklio naršyklės automatinį užpildymą, čia yra keletas jums svarbių naujienų. Buvo nustatyta, kad žiniatinklio naršyklėse, tokiose kaip „Chrome“, „Safari“ ar kitose, palaikančiose kelių formų automatinį pildymą, gali būti apgauta, kad jūsų svetainėms atiduos jūsų informaciją, net kreditinių kortelių numerius, jų galiojimo laiką ir CVV kodus.

Kaip sukčiavimas veikia?

Sukčiavimo apsimestinėje svetainėje gali būti matomų formos laukų arba teksto laukų pagrindinei informacijai, pavyzdžiui, vartotojo vardui ir el. Pašto adresui, rinkti. Be to, svetainėje bus kiti formos laukai, sukonfigūruoti taip, kad liktų paslėpti tinklalapyje, naudojant neigiamas paraštes ar galbūt kitus CSS metodus. Kai pildysite matomus formos laukus naudodami automatinį užpildymą, paslėpti formos laukai taip pat gaus atitinkamus duomenis.

Suomijos interneto dev ir įsilaužėlis Viljami Kuosmanen atrado šį pažeidžiamumą. Jis taip pat sukūrė demonstracinę svetainę, kurioje galite pamatyti, kaip veikia sukčiavimo būdas. Norėdami gauti daugiau informacijos, apsilankykite jo „GitHub“ projekto puslapyje.

Pažvelgę ​​į demonstracinio tinklalapio šaltinio kodą, galite pastebėti, kad tinklalapyje yra papildomų formos laukų, bet jie nerodomi ekrane. Kai užpildysite nekaltai atrodantį teksto laukelį „Vardas“ naudodami automatinį užpildymą, kiti laukai užpildomi automatiškai. Spustelėjus Pateikti, visa informacija paskelbiama svetainėje.

Pavyzdys: cc_number lauke yra neigiama kairioji paraštė (-500 pikselių), kad jis nerodomas puslapyje

„Firefox“ nėra pažeidžiamas, nes nepalaiko kelių formų automatinio užpildymo. „Firefox“ turite pasirinkti kiekvieną lauką ir įvesti pradinę raidę arba du kartus spustelėti lauką arba paspausti rodyklę žemyn ir spustelėkite vieną iš išskleidžiamojo meniu elementų. Duomenys nebus automatiškai užpildomi paslėptuose teksto laukeliuose.

Galima tikėtis taisymo iš „Google Chrome“ komandos, nes paprastas, bet efektyvus sukčiavimo būdas buvo atkreiptas į akiratį. Iki tol neišjunkite automatinio užpildymo savo interneto naršyklėje arba bent jau nenaudokite automatinio užpildymo svetainėse, kuriomis visiškai nepasitikite.

Išjunkite automatinį užpildymą „Chrome“

„Chrome“ atidarykite „Nustatymai“ ir spustelėkite Rodyti išplėstinius nustatymus.

Skiltyje „Slaptažodžiai ir formos“ panaikinkite žymėjimą laukelyje „Įgalinti automatinį užpildymą, kad vienu spustelėjimu būtų galima užpildyti interneto formas“.

Išjunkite automatinį pildymą operoje

„Opera“ automatinio užpildymo nustatymą galima rasti skiltyje „Nustatymai“> „Privatumas ir sauga“> „Automatinis užpildymas“. Panaikinkite žymėjimą „Įgalinti automatinį tinklalapių formų pildymą“.

per „Lifehacker“.

Atnaujinimas: Ką tik sužinojote, kad „Yoast“ parašė apie šį pažeidžiamumą dar 2013 m. Patikrinkite, kodėl neturėtumėte naudoti automatinio užbaigimo. • „Yoast“

Redaktoriaus Pasirinkimas