1. Trang chủ
  2. Câu hỏi và trả lời
  3. Trình quản lý mật khẩu biết khi nào tôi đăng nhập thành công?

Trình quản lý mật khẩu biết khi nào tôi đăng nhập thành công?

2016-12-13 15 views
6

Vì vậy, bạn biết làm thế nào bạn được trình bày với một màn hình đăng nhập và sau đó, bạn điền vào nó, và sau đó trình duyệt tải trang tiếp theo? Tại thời điểm này, bằng cách nào đó thanh quản lý mật khẩu bật lên cho LastPass, 1Password hoặc một số phần mở rộng khác, hỏi bạn có muốn lưu mật khẩu hay không. Làm thế nào để họ biết bạn vừa đăng nhập thành công?Trình quản lý mật khẩu biết khi nào tôi đăng nhập thành công?

  • Các biểu mẫu đôi khi được gửi và các lần khác js chặn biểu mẫu gửi và gửi AJAX.
  • Phản hồi quay lại và có thể đặt cookie mới, nhưng đôi khi cookie phiên hiện tại tiếp tục được sử dụng (cho phép các cuộc tấn công cố định phiên nhưng một số triển khai thực hiện điều đó).
  • Một vị trí mới được nạp hoặc nạp lại nhưng đôi khi javascript tải lại một phần của tài liệu thay vì

Nhưng bằng cách nào đó các nhà quản lý mật khẩu DETECT mà tôi đã đăng nhập vào một trang web thành công! Làm sao? Có phải vì tôi đã nhập nội dung nào đó vào trường mật khẩu và sau đó một số biểu mẫu đã được gửi hoặc một số yêu cầu mạng đã được gửi? Nhưng làm thế nào để họ biết nó đã thành công?

Bất kỳ ai quen thuộc với những người quản lý mật khẩu này đều có thể cung cấp một số thông tin hữu ích?

Lý do tôi hỏi là tôi muốn phát triển tiện ích phát hiện khi bạn đã đăng nhập và bằng cách nào đó cố gắng trích xuất id người dùng của bạn khỏi dịch vụ. Nó là cho các mục đích chia sẻ id người dùng của bạn với bạn bè tự động, và cho họ biết (với sự cho phép của bạn) những trang web bạn đang sử dụng rất nhiều.

Bất kỳ gợi ý nào về kỹ thuật trích xuất id người dùng đã đăng nhập trên dịch vụ cũng sẽ hữu ích.

Nguồn

2016-12-13 Gregory Magarshak

+0

wow .. 100 bounty tất cả vì bạn không thể tìm ra cách để làm việc google ... vì xấu hổ –

+0

Điều đáng xấu hổ là tuyên bố rằng bạn vật lộn một con gấu một lần trong tên người dùng của bạn. Tôi nghi ngờ con gấu nghĩ rằng đó là vật lộn. –

+0

Lmao cũng chơi gregory, cũng chơi –

Trả lời

17

Họ thực sự không nhận thức được thông tin đăng nhập thành công trong hầu hết các trường hợp. Họ biết rằng một biểu mẫu có trường mật khẩu đã được gửi và phản hồi là 200OK. Đây có thể vẫn là một trang hiển thị thông báo lỗi.

Để trích xuất ID người dùng, tôi chắc chắn bạn có nghĩa là các trang tiểu sử hoặc nội dung tương tự. Điều đó sẽ phải được thực hiện trên cơ sở từng trang web vì các trang web sẽ có các API và cấu trúc tuyến đường của riêng chúng.

Nguồn

2016-12-14 19:07:03 AkkarinZA

7

Khi ai đó đã trả lời câu hỏi này, tôi sẽ đồng ý với anh ấy.

Họ thực sự không biết đăng nhập thành công trong hầu hết các trường hợp. Họ là biết rằng một biểu mẫu có trường mật khẩu đã được gửi và phản hồi là 200OK. Đây có thể vẫn là một trang hiển thị thông báo lỗi.

Vì trình duyệt xem yêu cầu có trường mật khẩu trong đó cũng như mã trạng thái phản hồi của yêu cầu, Nhưng bạn vẫn có thể đánh lừa các trình duyệt một cách dễ dàng. Để biết về userid đã đăng nhập, bạn chắc chắn cần hỗ trợ phụ trợ/api. Nó phụ thuộc vào các khuôn khổ xác thực được sử dụng trong back-end. Nhưng bạn có thể lấy các trường biểu mẫu dễ dàng, nhưng việc trích xuất/tìm userid từ các trường biểu mẫu là một nhiệm vụ khó khăn, Trong hầu hết các trường hợp, biểu mẫu sẽ chỉ có hai trường mà bạn có thể quản lý để nhận userid. Nhưng trong một số trường hợp như các trang ngân hàng, họ sẽ gửi vài trường giả và đánh lừa các công cụ như vậy. Trong một số trường hợp userid khác với email, Vì vậy, nhiệm vụ khó khăn của nó.

Nguồn

2016-12-19 13:33:41

5

Họ chỉ phát hiện nếu biểu mẫu đã được gửi và mã 200 (OK) đã được trả lại. Họ không nhất thiết phải biết nếu bạn đã đăng nhập, nhưng phương pháp này hoạt động trên hầu hết các trang web.Họ cũng có thể phát hiện nếu một trang mới được tải sau đó, vì đăng nhập không thành công thường không chuyển hướng người dùng. Tuy nhiên, tôi đã có lời nhắc lưu mật khẩu sai trước đây.

Nguồn

2016-12-20 04:14:04

5

Họ có thể phát hiện tab hiện tại của bạn. và mỗi phần tử HTML của trang đó. Có thể chúng tôi có danh sách trường hợp trang đăng nhập để phát hiện các từ khóa như thông tin đăng nhập, tên người dùng, mật khẩu đã quên. và kiểm tra tất cả các từ khóa để xác định đây là trang đăng nhập.

Họ chỉ sẵn sàng trang và thậm chí họ có thể đọc mật khẩu của bạn (có).

Nếu bạn yêu cầu từ trang đó, & phản hồi sẽ là 200ok nghĩa là mật khẩu của bạn là chính xác.

Nguồn

2016-12-21 18:50:09

2

Bất cứ khi nào yêu cầu máy chủ bằng tên người dùng và mật khẩu, máy chủ sẽ kiểm tra hai mục nhập này vào cơ sở dữ liệu của họ và máy chủ sẽ tìm thấy dữ liệu của bạn sẽ trả về mã phản hồi và sử dụng mã gọi lại thành công AJAX. sẽ hiển thị thông báo thành công.

và cũng trả lại một số loại thông tin bạn có thể lưu trữ vào localStorage của trình duyệt hoặc vào cookie để sử dụng thêm.

Nguồn

2016-12-22 11:52:06 Sahadev

0

Tôi đã tạo một vài trang HTML tĩnh và biểu mẫu: Vì vậy, khi biểu mẫu được gửi, nó sẽ chuyển đến trang thứ hai.

Hãy kiểm tra

<form action="test1.html">  
<input type="text" /> 
<input type="password" />  
<input type="submit" />  
</form> 

</body>

Chrome không làm phiền bất cứ điều gì xảy ra. Trong khi firefox đã đưa ra một cửa sổ bật lên để lưu mật khẩu ngay cả khi biểu mẫu được gửi đến trang lỗi.

Vì vậy, firefox chỉ tìm biểu mẫu được gửi bằng trường mật khẩu và yêu cầu lưu hộp bật lên mật khẩu.

Nếu muốn tạo tiện ích mở rộng có thể kiểm tra người dùng đã đăng nhập thành công và sau đó bạn muốn yêu cầu bật lên mật khẩu. Cho rằng bạn phải kiểm tra phản ứng của máy chủ. Tôi không thể tạo trang động để đọc bằng chứng với ví dụ về trình duyệt.

Nguồn

2016-12-23 10:18:14

Các vấn đề liên quan

 Các vấn đề liên quan