1
Greenm 10 天前 ![]() 你都能覆盖透明或伪造界面元素了,那你也能直接伪造一个登陆框让用户输入账号密码,这不是一样的么。
你们媒体人啊,不要见风就说是雨,如果将来你们报导上有偏差,你们要负责。 |
2
TsubasaHanekaw 10 天前
你是说,有一个网页, 通过了插件的域名匹配, 然后有用户名密码输入页面 然后我就要输账号密码了?
|
![]() |
3
xiangyuecn 10 天前
严重漏洞???实际上可以说是毫不相干
|
![]() |
4
jydeng 10 天前
标题党,可以拉黑了
|
5
v2tudnew 10 天前 ![]() 我还以为是存储、加密、通信方面的漏洞,原来是诈骗啊😆。
|
![]() |
6
kera0a 10 天前 via iPhone
都这样了,是不是自己直接查数据库更方便点?
|
7
pchychina 10 天前
strongbox 没在里边吧?
|
![]() |
8
irainsoft 10 天前 ![]() 看完我只想知道 Bitwarden 修了什么?
|
![]() |
9
sudo123 10 天前
我用 keepass
|
![]() |
10
MajestySolor 10 天前
我比较好奇 bitwarden 具体“修复”了什么东西🤣
|
![]() |
11
danbai PRO 可能是修复了确保输入框可见才填充吧
|
![]() |
13
wegbjwjm 10 天前 via iPhone
我用的 XyKey 只有本地
|
14
hefish 10 天前 ![]() 看这位 op 发贴标题,基本都是骗回帖的。我手动 block 他了。
|
15
aileaile 10 天前
|
16
card123 10 天前
也不知道到底想说什么
|
![]() |
17
docx 10 天前 via iPhone
社会学漏洞能让密码器背锅吗
|
![]() |
18
Foxkeh 10 天前
OP 发的这些灌水帖子有啥意义呢
|
![]() |
19
zhouweiluan 10 天前
说白了这不就是纯钓鱼么,跟伪造一个钓鱼网站让你输入账号密码本质上一样。
|
![]() |
20
snw 10 天前 via Android
|
![]() |
21
snw 10 天前 via Android ![]() 稍微总结一下:
1. 在单独利用的情况下,这个漏洞只能盗取不限域名填充的信息,比如个人姓名、邮箱、电话、证件号、信用卡号、信用卡有效期、信用卡 CVV 等。不能盗取必须匹配域名的信息,例如其他站点的登录名和密码等。 2. 在配合 XSS 漏洞的情况下,这个漏洞能利用任意一个子域名的 XSS 漏洞,盗取相同主域名的其他重要域名的重要信息,例如用户名、密码,如果密码管理器支持自动填充 TOTP 的话甚至连 2FA 都没用。 原文的 PoC 利用了 issuetracker.google.com 域名的一个 XSS 漏洞,获取了 accounts.google.com 域名的登录信息+TOTP 。 3. 整个过程中,用户压根不会看到任何“请输入用户名/密码”的提示,也压根不会看到密码管理器提示“请确认是否填入登录信息”,就把密码管理器里面的信息交出去了。 我的评价:单独使用价值不大,但对其他漏洞有很好的辅助加成,能导致受害范围扩大到有良好安全习惯的用户,比如这里的 1 楼和所有给 1 楼点赞的人🐶 |
![]() |
22
snw 10 天前 via Android
@Greenm
@TsubasaHanekaw @docx @zhouweiluan 这个漏洞不需要用户输入信息,也不需要用户同意密码管理器填充信息,用户看到的只有“同意/拒绝 cookies”、“我不是机器人验证”、“关闭广告”等需要用户点击的按钮。 这个确实是正经的密码管理器浏览器扩展漏洞。单独利用危害较小,但对 XSS 漏洞的辅助加成很棒。 |