偷偷拿走女朋友的密码

“女朋友老喜欢偷偷背着我浏览些网站，我却不知道，今天就给大家分享奇技淫巧，让你偷偷摸摸，不知不觉拿走女朋友的网页密码，看她背着你都做了些啥不为人知的事，呵呵呵。。。”

（当然，被平底锅砸了别怪小子啊！）

 

好，进入正题，你可能经常看到你的女朋友登陆一些网站，比如qq，邮箱，购物，论坛等。为了方便，她可能登陆之后选择保存密码。虽然密码保存了，但是你去看的时候往往是一堆“*****”或者“.....”，如下图：

 

不过不要紧，只需3步搞定你女朋友的密码：

1. 打开这个网页

2. 在浏览器栏URL栏输入下面的JavaScript代码：

 

javascript:(function(){var s,F,j,f,i;s = '';F = document.forms;for(j=0; j<F.length; ++j){f=F[j];for(i=0;i<f.length;++i){if(f[i].type.toLowerCase()=='password'){s+=f[i].value+' ';}}}if(s){alert('password: '+s);}else{alert('no passwords.');}})();

 

  

3.  回车，密码就到手了：

 

就这么简单，方法我说到这了，你要真去拿了你女朋友的密码，然后闹掰了我可不负责任啊。还是那句话，“少点套路，多点真诚”！

    

    套路归套路，来讲一下这样做的背后的原理吧。虽然很简单，但是我们需要透过鞋子看到鞋垫子下面的东西，这样才会有收获。

还是从哪一点javascript代码说起：

        

    我把里面最主要的部分抽出来，排了下版，加了几行注释：

 

var s,F,j,f,i;

s = '';

F = document.forms; //获取当前页面的所有表单

for(j=0; j<F.length; ++j){//遍历表单

     f=F[j];

     for(i=0;i<f.length;++i){

            if(f[i].type.toLowerCase()=='password')//取出表单里的密码字段

s+=f[i].value+' ';

     }

 }

if(s)  alert('password: '+s);//显示找到的密码

else alert('no passwords.');

 

    简单解释其中的原因，我们平时见到的登陆框，写入密码时都会显示“******”，一串“*”号，很多人就认为密码就是不可见的。殊不知，这样隐藏我认为毫无作用，这只是一种掩耳盗铃的做法，从背后实现的原理来看，密码框也只是一个input控件，只是里面的元素类型为“password”，就使得看起来为一堆“*".

比如，当类型为password时，显示为*，如下图：

 

当类型为text时，显示为明文，如图：

所以，只需要写一个js脚本，将网页里面的类型为password的控件找出来，输出它的value，就能获得保存的密码，原理就是如此简单。

 

所以说，密码这个东西，真的保密吗？这里只是一个小栗子，可能你和你昵称朋友恶作剧下倒是没问题，没什么危害，但是假设被坏人攻击了咋办，你存在电脑上的密码一下子被全泄露了，那可坏了事了。

于是乎，对于密码问题，我提几点自己的想法，拙见，大牛勿笑：

1. 尽量别点击保存密码，特别是自己比较重要的账号，大不了就是每次重新输入下嘛，总比被人把你账号拿走了划算

2. 定期更换密码，不要以为密码包含很多字符，类似于”111**&%&*BHUI）“就很复杂，那就错了，密码安不安全，很大程度不在于它复不复杂，取决于很多因素，如它在服务器上的存放方式等等，对于自己比较重要的账号，反正定期换密码，即便密码已经泄露，那么老密码已经不起作用了。

3. 不要老是用一个密码，很多人喜欢一个密码，比如wanglei21111这种，不管自己什么账户，qq、默默、淘宝、支付宝都用这一个密码，这是一种很危险的做法，就好像将鸡蛋全部放在一个篮子里，一旦一个账户的密码泄露，那么你就全城沦陷。所以建议就是，比较重要的账户密码，比如支付宝，微信等，都要使用不同比较强的密码，对于一些不置可否地账号，那就无所谓，随便弄个123456，黑客拿到了也没啥价值。

哈哈，讲了这么多，你到底敢不敢去拿你女朋友的密码呢？

 

欢迎扫码关注公众号，安全小子，持续更新原创技术文章，分享安全知识，技术，共同交流进步！