很多瀏覽器都自帶了一個功能,那就是自動保存密碼,第一次輸入密碼之后會提示你保存密碼(有的提示是“自動填寫”),然后下次登錄相同網站的時候不用再次麻煩地輸入密碼。雖然方便,不過不安全。因為這些數據都是保存在硬盤上的。我最開始想的是怎么查看到別人的星號密碼,有的瀏覽器如搜狗有那種星號密碼查看器可以查看星號密碼,不過不是所有瀏覽器都有這個擴展,或者說不是所有的網站都支持你查看,畢竟有的網站安全措施做得很好,於是我突然想到,能不能通過獲得別人瀏覽器的配置文件中和這個自動保存密碼功能相關的文件,然后在其他電腦上面同樣的瀏覽器(不同版本的瀏覽器可能也有區別)的配置文件中覆蓋或替換一次就能獲得別人的密碼,雖然還是查看不到別人的密碼,不過還是能用他的密碼登陸。於是我前幾天在虛擬機中安裝了幾種瀏覽器測試了一下,成功找到了配置文件中和密碼相關的文件,證明我的猜想是正確的。
下面說說方法吧:首先我先隨便登陸一個網站,然后輸入自己的登陸密碼,然后瀏覽器會提示自動保存,然后確定。下面就正式開始了,首先我要確定這個和密碼相關的文件是否在配置文件中,所以我先找到了這些瀏覽器的配置文件。(這里補充一下怎么找瀏覽器的配置文件,不同的瀏覽器的配置文件的路徑是不同的,有的瀏覽器如360極速和獵豹瀏覽器等,他們的配置文件就是和瀏覽器程序文件在相同目錄,這樣就很方便了。只需要在瀏覽器的桌面快捷方式上面右擊,然后打開文件位置,就能看到了,配置文件的名字一般都是User Data,不過有的也不一樣,久了就有經驗了。還有一些瀏覽器如谷歌,他是靜默安裝的,這一類的瀏覽器的配置文件夾和瀏覽器程序文件是分開存放的,默認的位置是隱藏了的,可以通過這樣打開:先win+R,然后輸入%appdata%,
打開之后上一級目錄,然后配置文件有可能在這三個目錄中,不同的瀏覽器不一樣。
還有一類瀏覽器,比如自己配置的那種綠色的瀏覽器,他們的配置文件一般也都是設置在和程序文件在同一目錄,所以還是很容易找到)
找到這些瀏覽器的配置文件后我們把這些配置文件(也就是User Data文件夾)移動到另外一個位置,然后重新打開瀏覽器,這個時候瀏覽器會重新生成一個配置文件夾(也就是User Data文件夾),然后我們打開剛才登陸過我們賬號的同一個網站,看看有沒有自動填寫密碼,當然因為瀏覽器密碼是保存在這些配置文件中的,所以因為之前把輸入過密碼的配置文件夾移走了,所以現在重新生成的配置文件中就沒有我們剛才保存的密碼了,也所以就沒有在這個網站自動填寫登陸密碼,那么也就證明了這個密碼是保存在這些配置文件中的沒錯,接下來我就是使用同樣的方法,逐步細化下去,每次移走一部分文件和文件夾,然后重新打開瀏覽器(必須是重新打開瀏覽器,刷新瀏覽器是看不出來效果的),然后看看這個之前登陸過的網站有沒有自動填寫密碼,就這么一步一步下去逐個排查,我是每次一半一半來,這樣快點,然后過不了多久就找到了和密碼相關的文件,怎么證明這個文件是和密碼保存相關的呢?只需要看看有這個文件和沒有這個文件的時候這個網站有沒有自動填寫密碼即可。就這樣我試了很多瀏覽器,發現有很多瀏覽器還是很相似的。也可能因為獵豹和谷歌都是webkit內核等,所以很多文件都很相似,就這樣我試了很多種瀏覽器,方法笨點,不過還是挺好用的。其實自己修改別人的東西,或者瀏覽器等軟件出現問題也可以通過這個方法來解決,比如瀏覽器如果出現問題,我們可以先禁用一些擴展或腳本等來看看問題是否還存在來查看問題所在,所以說在不知道問題所在的時候這個方法挺好的,有時候發現問題比解決一個問題更難也更重要。
說一說題外話,其實自己之前配置的綠色便攜瀏覽器里面的配置文件可以保存自己的所有信息,因為我們的所有操作都在配置文件中,然后其實如果不知道密碼文件是哪一個,然后自己也難得找的話可以復制別人的整個配置文件夾,然后在自己的電腦上覆蓋或替換一次就可以了,不過我主要想說的就是綠色的瀏覽器這樣是沒有問題,不過安裝的瀏覽器有的是不行的。因為他的很多東西是一直在使用過程中,或者文件受保護,你並不能成功復制整個配置文件夾,比如獵豹瀏覽器他有一個安全保護,那么你直接復制他的整個配置文件夾是有問題的,反而直接復制那個密碼文件是沒有權限要求的。獵豹瀏覽器如果要復制整個配置文件夾需要先去掉安全保護。像獵豹瀏覽器這樣有保護的不能直接壓縮配置文件,因為被占用,或者說被保護所以會出錯的。直接復制還是因為被保護所以其實並沒有用。不過發現獵豹的那個密碼文件沒有被保護,可以直接拖出來。
再來說說cookie吧。其實我之前一直以為密碼是保存在這個文件中的。其實不是只是記錄你的登錄信息,而密碼的信息還是在其他的文件中的。
百度百科:服務器可以利用Cookies包含信息的任意性來篩選並經常性維護這些信息,以判斷在HTTP傳輸中的狀態。Cookies最典型的應用是判定注冊用戶是否已經登錄網站,用戶可能會得到提示,是否在下一次進入此網站時保留用戶信息以便簡化登錄手續,這些都是Cookies的功用。另一個重要應用場合是“購物車”之類處理。用戶可能會在一段時間內在同一家網站的不同頁面中選擇不同的商品,這些信息都會寫入Cookies,以便在最后付款時提取信息。
其實不像網上說的那樣密碼保存在cookie中,而是單獨保存在一個文件中。因為像谷歌瀏覽器清除cookie密碼還是在的 。而單獨有一個清理項叫密碼。不過要注意,我這里說的是瀏覽器自帶的自動填寫密碼功能,我自己其實並沒有使用這個,而是一個擴展:lastpass,這種保存密碼的方法 ,他的密碼信息就不是在我說的這些文件中了,如果使用的是lastpass之類的擴展,那么你清除cookie之后你所有的登陸信息都會被刪除,也就是說你需要重新登陸,不過lastpass是自動填寫的,還是很方便。我這里只是說lastpass這種擴展保存的密碼密碼不是保存在我下面說的這些文件中而是在lastpass他們公司的服務器上面,切記切記。
各大瀏覽器的配置文件夾的路徑不一樣。
這些就是我在虛擬機中測試后發現的和密碼相關的文件,如果別人使用的是瀏覽器自帶的自動填寫密碼功能,並且保存了一些密碼,並且沒有清理掉。那么你是可以通過獲得這些文件,然后在自己的電腦上面安裝同樣的瀏覽器(不同版本可能有區別,一般都可以用),然后在你的配置文件中替換或者覆蓋這個文件,然后登陸上同樣的網站來自動登陸他的賬號,不過還是不支持查看他的密碼。我這里只列舉了幾種瀏覽器,其中谷歌和火狐都是綠色版的。火狐是pcxFirefox。其他的瀏覽器找這些文件的方法也一樣的。
而像谷歌瀏覽器這種,其實他的密碼是允許直接查看的。如下:
