Wyciąganie hasła z bazy Firefox’a

0

Firefox jak wiele modernistycznych przeglądarek ma opcję zapamiętywania haseł. Dla wielu ludzi wystarczające zabezpieczenie, wiele osób nie potrafi „odczytać” co kryje się za gwiazdkami czy kropkami automatycznie wprowadzanymi przez przeglądarkę np. w przypadku napotkania formy logowania – i tak uważamy się za dostatecznie zabezpieczonych, nawet jeśli używamy hasła głównego.. a co jeśli przeglądarka o nie nie pyta co logowanie na stronę?

Pokażę na swoim przykładzie, jak łatwo można ominąć te wszelkie „zabezpieczenia” samymi, codziennymi wtyczkami z naszej przeglądarki. Strzeżcie się szczególnie developerzy.

Domyślne zabezpieczenie

Jeśli już nie chcemy korzystać z hasła głównego, a mimo wszystko chcemy uniemożliwić mniej wprawionym hakierom dostęp do naszych kont i haseł.. możemy w chrome (powłoka graficzna firefoxa) ukryć przycisk pokazywania zapamiętywanych haseł, o wygląda to tak po operacji:

Jeśli jeszcze nie zauważyłeś, to brakuje tam jednego przycisku: „zapamiętane hasła”, w angielskim oryginale wygląda to tak:

Byle screen z neta z jakiegoś sterego FF

Osiągamy taki prosty, cieszący oko efekt przez edytowane pliku (zależnie od naszego windowsa / nazwy profilu):

C:\Users\<konto>\AppData\Roaming\Mozilla\Firefox\Profiles\<nasz_profil>\chrome\userChrome.css

i wrzucamy niczym w CSS:

#showPasswords, #security-view-password { display: none; }

To jednak za mało, co jeśli…

Ofiara ma Firebug’a

Wybieramy dowolną stronę, z której chcemy wyciągnąć nasze dane logowania, wezmę to co wrzuciłem w pierwszej miniaturce… login do konta już znamy na danej stronie, zostało hasło do poznania.

Firebug jest bardzo wygodnym narzędziem do wszelkiej manipulacji stroną czy to jej HTML’em, Stylem CSS albo danymi z DOM… a my chcemy tylko sprawdzić wartość danego konkretnego pola i tylko „dla oka” przeglądarka ukrywa nam tamtejszą wartość.

Sposób nr 1: Wartość pola przez DOM

Wybieramy narzędzie badania w firebugu, zaznaczamy nasze pole z hasłem. Skaczemy po prawej stronie okna do zakładki DOM, szukamy cechę Value…

Zwróć uwagę, że znacznik HTML wcale nie musi posiadać zdefiniowaną cechę w stylu value=”hasło”…

Sposób nr 2: Zmieńmy typ pola

Sposób wymagający mniej zachodu. Wybieramy nasze pole z hasłem, szukamy type=”password”, password zamieniamy chociażby na text. Efekt?

Ofiara ma Live HTTP Headers

To jednak będzie wymagało wysłania żądania do serwera. Wchodzimy na sniffowaną stronę, otwieramy okno przechwytywania wtyczki, klikamy przycisk logowania i odfiltrowujemy przesłane dane:

Greasemonkey?

Tego już nie próbowałem, ale MOŻE jest szybka możliwość napisania skryptu, który przechwyci nam hasło ;-). Ogólnie nigdy nie skryptowałem dla tej wtyczki, mam prawo nie wiedzieć.

Javascript z paska adresu / konsoli przeglądarki

Mogłoby to się wydawać bardzo fajne proste i przyjemne, jednak twórcy lisa raczej o tym pomyśleli, aby zwykłemu użytkownikowi nie podwędzić tak łatwo hasła. Wszelkie próby wykonania (konsola/pasek adresu):

javascript: alert(document.getElementById("password").value)

zazwyczaj kończyły się zwróceniem null. (nie ciągnę już tego, czy przeglądarka chroni obiekty itd…)

Zastanawiam się jeszcze, czy nie ma tutaj możliwości podwędzenia wartości pola przy wywołaniu requesta i jego przerwaniu.. no ale nie będę już sprawdzał.

Inne metody?

Na pewno możesz wyciągać plik haseł z profilu, na pewno możesz całą kopię profilu dziabnąć, instalować i tracić czas na wtyczki które umożliwiają podgląd haseł, albo samo łamanie pliku haseł jakimś małym toolkitem.. itd itd. Ot odkryte przeze mnie szybkie metody ;-)

Tagi: , , , ,

Skomentuj