Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser aus

[Unfriendly Solution]

Also mir sind folgende drei bis dato bekannt:

1.) Aus den Browser Optionen/Einstellungen auslesen bzw. gespeicherte Passwörter anzeigen lassen.

2.) Diesen Code benutzen.

You do not have permission to view link please Anmelden or Registrieren

Dazu muss man ein Lesezeichen erstellen und den Code da einfügen. Oder den Code markieren und es direkt auf die Browserleiste ziehen zu den anderen Lesezeichen. Dann nur noch auf das Lesezeichen klicken. (Wenn man es in die URL Leiste tippt und dann auf Enter drückt passiert nix - geht nur mit Lesezeichen.)

3.) Man markiert das Passwortfeld und drückt mit der rechten Maustaste auf Element untersuchen. Daraufhin erscheint folgendes Fenster

You do not have permission to view link please Anmelden or Registrieren

Ihr seht dann in der ersten grauen Zeile das Feld password. Da klickt ihr doppelt drauf oder markiert es manuell und ersetzt password durch das Wort text. Danach Enter drücken und das zuvor markierte Passwort mit Sternchen wird aufgedeckt und als klare Zahlen angezeigt - siehe hier

You do not have permission to view link please Anmelden or Registrieren

Wer kennt noch mehr Möglichkeiten ? Bitte auch mit praktischen Anleitungen und nicht Tipps oder Ratschlägen oder Querverweisen wo man sich erst selber durchwursteln muss.

 

[p3Eq]

Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Naja, du liest ja bei den letzten zwei Möglichkeiten nicht wirklich die Kennwörter aus dem Browser aus, sondern eher aus dem Eingabeformular einer Seite, wo der Browser die Daten ausgefüllt hat. Das entspräche dann schlicht und einfach XSS.

Sofern du aber nicht die Seite, bzw. die Anfragen an diese, angreifen willst (XSS, CSRF, ...), ist es natürlich browserabhängig, was für Schwachstellen es da bezüglich gespeicherter Kennwörter gibt.

 

[Kugelfisch]

Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Eine weitere Möglichkeit wäre, die Zugangsdaten direkt aus dem RAM des Browser-Prozesses oder vom Speicherort (abhängig von Browser und Betriebssystem z.B. die Keychain des angemeldeten Benutzers, der Data-Protection-API-Store oder eine lokale Datei oder die Registry) auszulesen. Letzteres tut z.B. diverse Malware, um Zugangsdaten von den infizierten Systemen zu sammeln und damit ggf. weitere Systeme über Spam-E-Mails, Spam-Nachrichten in `sozialen` Netzwerken oder über kompromittierte Websites zu infizieren. Das lässt sich auch nicht verhindern - schliesslich müssen der Browser und andere Anwendungen wie z.B. ein FTP-Client die Möglichkeit haben, auf die Daten zuzugreifen, demnach hat sie auch Malware, welche unter demselben Benutzerkonto läuft oder ihre Privilegien sogar eskaliert hat.

Die von dir beschriebenen Methoden 2 und 3 stellen eine Schwachstelle in vielen Browser-Passwortmanagern dar - unter bestimmten Umständen werden die Zugangsdaten ohne weitere Benutzerinteraktion in ein input-Element eingetragen, wo sie über JavaScript ausgelesen werden können. Das ist, wie p3Eq erwähnte, hoch kritisch, wenn die betreffende Website eine XSS-Schwachstelle aufweist. Deshalb trägt z.B. der Passwort-Manager von Opera die Zugangsdaten erst nach einem Klick ein.

Grundsätzlich gilt, dass ein lokaler Benutzer seine eigenen Kennwörter immer auslesen kann - das lässt sich nicht verhindern, und einige Browser wie z.B. Firefox bieten inzwischen sogar offiziell eine Möglichkeit, die gespeicherten Zugangsdaten einzusehen - deine erste vorgeschlagene Methode.

 

[UltimaTOR]

Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Wie von Kugelfisch schon erwähnt, kannst du den RAM bzw. Teile des RAM dumpen, also auslesen. Dies machst du am Besten mit dem Programm "pwdump". Anschließend nutzt du das Tool "Strings", um enstprechende Parameter zu setzen. Diese "Lücke" ist bei - soweit mir bekannt - allen Browsern ein Problem. Zumindest war es das noch, als ich selbst Tests durchgeführt habe. Tutorial zu oben beschriebener Vorgehensweise findest du

You do not have permission to view link please Anmelden or Registrieren

 

[Unfriendly Solution]

Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Das mit pwdump werde ich mal näher anschauen. Gibt es auch ein deutsches Cross Site Scripting Tutorial ? Also in 1. Linie gehts mir darum dass es benutzerfreundlich ist weil ich es auch Leuten zeigen will die sich nicht so mit Computern auskennen. Am besten irgendwas automatisiertes

 

[Kugelfisch]

Re: Suche Möglichkeiten - außer diesen 3 - um gespeicherte Passwörter aus dem Browser

Die Frage ist, was genau du zeigen möchtest. Zur Demonstration, dass sich gespeicherte Passwörter über eine lokal ausgeführte Software auslesen lassen, könnte

You do not have permission to view link please Anmelden or Registrieren

oder allgemein auch

You do not have permission to view link please Anmelden or Registrieren

dienen - Windows-GUI-Tools, welche lokal gespeicherte Passwörter anzeigen. Wichtig ist jedoch zu erwähnen, dass das grundsätzlich zu erwarten ist, technisch nicht verhindert werden kann (zumindest solange der Browser läuft und ein eventuelles Master-Passwort im Speicher liegt) und nur dann eine Gefahr darstellt, wenn das System kompromittiert wird.

Zur Problematik, dass Passwörter automatisiert in Formularfelder eingetragen werden, siehe

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

(am Beispiel von Firefox - andere Browser mit demselben Verhalten dürften aber ebenfalls betroffen sein).