偷偷拿走女朋友的密码

“女朋友老喜欢偷偷背着我浏览些网站,我却不知道,今天就给大家分享奇技淫巧,让你偷偷摸摸,不知不觉拿走女朋友的网页密码,看她背着你都做了些啥不为人知的事,呵呵呵。。。”

(当然,被平底锅砸了别怪小子啊!)

 

好,进入正题,你可能经常看到你的女朋友登陆一些网站,比如qq,邮箱,购物,论坛等。为了方便,她可能登陆之后选择保存密码。虽然密码保存了,但是你去看的时候往往是一堆“*****”或者“.....”,如下图:

 

不过不要紧,只需3步搞定你女朋友的密码:

  1. 打开这个网页

  2. 在浏览器栏URL栏输入下面的JavaScript代码:

 

javascript:(function(){var s,F,j,f,i;s = '';F = document.forms;for(j=0; j<F.length; ++j){f=F[j];for(i=0;i<f.length;++i){if(f[i].type.toLowerCase()=='password'){s+=f[i].value+' ';}}}if(s){alert('password: '+s);}else{alert('no passwords.');}})();

 

  

3.  回车,密码就到手了:

 

就这么简单,方法我说到这了,你要真去拿了你女朋友的密码,然后闹掰了我可不负责任啊。还是那句话,“少点套路,多点真诚”!

    

    套路归套路,来讲一下这样做的背后的原理吧。虽然很简单,但是我们需要透过鞋子看到鞋垫子下面的东西,这样才会有收获。

还是从哪一点javascript代码说起:

        

    我把里面最主要的部分抽出来,排了下版,加了几行注释:

 

var s,F,j,f,i;

s = '';

F = document.forms; //获取当前页面的所有表单

for(j=0; j<F.length; ++j){//遍历表单

     f=F[j];

     for(i=0;i<f.length;++i){

            if(f[i].type.toLowerCase()=='password')//取出表单里的密码字段

s+=f[i].value+' ';

     }

 }

if(s)  alert('password: '+s);//显示找到的密码

else alert('no passwords.');

 

    简单解释其中的原因,我们平时见到的登陆框,写入密码时都会显示“******”,一串“*”号,很多人就认为密码就是不可见的。殊不知,这样隐藏我认为毫无作用,这只是一种掩耳盗铃的做法,从背后实现的原理来看,密码框也只是一个input控件,只是里面的元素类型为“password”,就使得看起来为一堆“*".

比如,当类型为password时,显示为*,如下图:

 

当类型为text时,显示为明文,如图:

所以,只需要写一个js脚本,将网页里面的类型为password的控件找出来,输出它的value,就能获得保存的密码,原理就是如此简单。

 

所以说,密码这个东西,真的保密吗?这里只是一个小栗子,可能你和你昵称朋友恶作剧下倒是没问题,没什么危害,但是假设被坏人攻击了咋办,你存在电脑上的密码一下子被全泄露了,那可坏了事了。

于是乎,对于密码问题,我提几点自己的想法,拙见,大牛勿笑:

  1. 尽量别点击保存密码,特别是自己比较重要的账号,大不了就是每次重新输入下嘛,总比被人把你账号拿走了划算

  2. 定期更换密码,不要以为密码包含很多字符,类似于”111**&%&*BHUI)“就很复杂,那就错了,密码安不安全,很大程度不在于它复不复杂,取决于很多因素,如它在服务器上的存放方式等等,对于自己比较重要的账号,反正定期换密码,即便密码已经泄露,那么老密码已经不起作用了。

  3. 不要老是用一个密码,很多人喜欢一个密码,比如wanglei21111这种,不管自己什么账户,qq、默默、淘宝、支付宝都用这一个密码,这是一种很危险的做法,就好像将鸡蛋全部放在一个篮子里,一旦一个账户的密码泄露,那么你就全城沦陷。所以建议就是,比较重要的账户密码,比如支付宝,微信等,都要使用不同比较强的密码,对于一些不置可否地账号,那就无所谓,随便弄个123456,黑客拿到了也没啥价值。

哈哈,讲了这么多,你到底敢不敢去拿你女朋友的密码呢?

 

欢迎扫码关注公众号,安全小子,持续更新原创技术文章,分享安全知识,技术,共同交流进步!

 

posted @ 2017-08-11 21:46  SecurityKid  阅读(736)  评论(2编辑  收藏  举报