Waarde van een ingevuld wachtwoordveld achterhalen.

Door Luuk1983 op maandag 20 april 2009 10:32 - Reacties (17)
Categorie: Programmeren, Views: 13.658

Vele kennen het vast wel: je hebt ooit je gebruikersnaam en wachtwoord voor dat ene forum of dat ene e-mail account wat je ooit even snel aangemaakt hebt ingevuld, en deze login gegevens door je browser laten onthouden of het vakje 'login gegevens onthouden' aangevinkt. Alleen nou weet je niet meer wat het betreffende wachtwoord is. Frustrerend is het wel: het wachtwoord staat al ingevuld, maar je kan deze uiteraard niet lezen.

Toch is het vrij makkelijk om de waarde van dit veld uit te lezen. Dit kan je doen met javascript. Ga naar een pagina met een (ingevuld) wachtwoordveld en kopieer en plak onderstaande code in de adreswerkbalk van je browser:

JavaScript:
1
javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms on this page:\n\n" + s); else alert("There are no passwords in forms on this page.");})();

Volgende: MIjn huis is opgeleverd! 04-'09 MIjn huis is opgeleverd!
Volgende: 'Oude' stijl global.asax file in .NET 2.0 04-'09 'Oude' stijl global.asax file in .NET 2.0

Reacties


Door Tweakers user Marce, maandag 20 april 2009 10:36

Het werkt bij mij wel, ik krijg voor het wachtwoord alleen 2x een n en achter het ww 1x een n.

Door Tweakers user Erkens, maandag 20 april 2009 10:37

Je kan ook de Web Developer toolbar installeren als je Firefox gebruikt. Hiermee kan je eenvoudig de wachtwoord velden omzetten in normale textvelden waardoor je de ingevulde wachtwoorden ook kan bekijken :)

Door Tweakers user Lassie dutch, maandag 20 april 2009 10:38

Of met FireFox:

Extra > Opties > Beveiliging > Opgeslagen wachtwoorden :+

Door Tweakers user LuCarD, maandag 20 april 2009 10:38

In FF:
Options -> Security ->Saved Passwords -> Show Passwords

Door Tweakers user Slapstick, maandag 20 april 2009 10:38

weer wat geleerd!. Ik deed het altijd met een of ander gaar progamma wat die bolletjes weer uit kon lezen.

Door Tweakers user Marce, maandag 20 april 2009 10:40

Het kan in chrome ook.

Opties: kleine aanpassingen: opgeslagen wachtwoorden weergeven :P

nooit geweten, maar ook nog niet nodig gehad :)

Door Tweakers user ingdas, maandag 20 april 2009 10:42

Ik denk dat er een paar backslashen tekort zijn.
de aanpassingen moeten zo denk ik:

value+ "\n";
page:\n\n

Door Tweakers user Luuk1983, maandag 20 april 2009 10:45

@ingdas:
Inderdaad. Ik gebruik zelf een lokale, simpele WIKI, alleen het control wat daar in zit met betrekking tot het verwerken van tekst vindt een \ niet zo leuk, die haalt hij er nog wel eens uit :P Vandaar ;)

Ik heb het aangepast.

[Reactie gewijzigd op maandag 20 april 2009 10:45]


Door Tweakers user swtimmer, maandag 20 april 2009 11:32

Maar kan je dus nu mensen wachtwoorden uitlezen via deze JS en dan via een ajax call naar een website versturen? Of vangen browsers dit af?

Door Tweakers user RobIII, maandag 20 april 2009 12:13

^^ Euh; nee dat gaat niet werken tenzij de site vatbaar is voor XSS.

[Reactie gewijzigd op maandag 20 april 2009 12:14]


Door Tweakers user Koopmans, maandag 20 april 2009 13:25

Met Opera is het ook niet moeilijk.

Gewoon de paginabron openen, password veld opzoeken en type="password" wijzigen naar type="text" en de wijzigingen toepassen.
Als je dan je password door de browser laat invullen komt het gewoon leesbaar in het veld te staan.

Door Tweakers user Scott, dinsdag 21 april 2009 06:11

@ Koopmans:

Als je dan toch in dat venster zit kun je ook gewoon uitlezen wat er staat :+

Door Tweakers user Evilbee, dinsdag 21 april 2009 09:50

@ScottB:

Dat kan dus niet. Omdat het veld door je browser wordt ingevuld. Het wordt dus niet in de broncode van de pagina gezet ;)

Door Tweakers user MMaI, dinsdag 21 april 2009 10:03

oxid.it > cain en Abel > password revealer

Door Tweakers user Luuk1983, dinsdag 21 april 2009 16:23

@Iedereen:

Ja natuurlijk zijn er nog veel meer manieren om wachtwoorden te achterhalen, maar ff een scriptje in de adresbalk pleuren leek me redelijk laagdrempelig en best handig op z'n tijd! Maar bedankt voor alle alternatieven en suggesties :)

Door Tweakers user Tazzios, woensdag 29 april 2009 12:07

inderdaad handig, net gebruikt op het werk.

Systeembeheerder vinden het meestal ook niet zo leuk als je programma`s als cain gaat installeren.

Door Tweakers user synkyn, zaterdag 1 mei 2010 12:45

maar ik doe een spel en dat acount is van me vriend en hij is er op ingelogd en uitgelogt en ik weet ze naam wel kan ik zien wat voor wachtwoordt hij had ingevuld? dan kan ik op zijn acount of jij heb nog een goed runescape aocunt? }>

later stuur terug

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.