根据安全机构 FlashPoint 官方博文,在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。
恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站,并使用 Bitwarden 自动填充之后,就可以获取用户的凭证信息。
IT之家从博文中获悉,导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。

浏览器通过同源策略,分开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。目前包括 Firefox、Chrome 等主要浏览器均采用了这个安全概念。
Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。
但安全研究人员写道无需进一步的用户交互,该页面可以等待登录表单的输入,并将输入的凭据转发到远程 服务器 。
Bitwarden 文档确实包含一条警告,即“受感染或不受信任的网站”可能会利用此来窃取凭据。安全研究人员表示,如果网站本身受到威胁,扩展几乎无法阻止窃取凭据。
怎么能避免打开有病毒的网站
如果大家使用的是Windows 2K或Windows XP那么教大家一招克就能死所有病毒!!如果你是新装的系统(或者是你能确认你的系统当前是无毒的),那就再好不过了,现在就立即就打开:“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧!首先就是把超级管理员密码更改成十位数以上,然后再建立一个用户,把它的密码也设置成十位以上并且提升为超级管理员。 这样做的目的是为了双保险:如果你忘记了其中一个密码,还有使用另一个超管密码登陆来挽回的余地,免得你被拒绝于系统之外;再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。 接着再添加两个用户,比如用户名分别为:user1、user2;并且指定他们属于user组,好了,准备工作到这里就全部完成了,以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了。 只使用user1登陆就可以了。 登陆之后上网的时候找到 ie,并为它建立一个快捷方式到桌面上,右键单击快捷方式,选择“以其他用户方式运行”点确定!要上网的时候就点这个快捷方式,它会跟你要用户名和密码这时候你就输入user2的用户名和密码!!!好了,现在你可以使用这个打开的窗口去上网了,可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页,而不必再担心中招了!因为你当前的系统活动的用户时user1。 而user2是不活动的用户,我们使用这个不活动的用户去上网时,无论多聪明的网站,通过ie 得到的信息都将让它都将以为这个user2就是你当前活动的用户,如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的,即使能行通,那么被修改掉的仅仅时use2的一个配置文件罢了,而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败,因为user2根本就没运行,怎么能取得系统的操作权呢??既然取不得,也就对你无可奈何了。 而他们更不可能跨越用户来操作,因为微软得配置本来就是各各用户之间是独立的,就象别人不可能跑到我家占据我睡觉用的床一样,它们无法占据user1的位置!所以你只要能保证总是以这个user2用户做代理来上网(但却不要使用user2来登陆系统,因为如果那样的话,如果user2以前中过什么网页病毒,那么在user2登陆的同时,他们极有可能被激活!),那么无论你中多少网页病毒,全部都将是无法运行或被你当前的user1用户加载的,所以你当前的系统将永远无毒!
创建新的用户帐户 Administrator帐户自动影藏如何解决???????
创建新的用户帐户后Administrator帐户自动隐藏解决方法
第一种方法
Administrator,是系统默认的管理员帐户,当你没有设置其他管理员帐户的时候,这个帐户是显示的,当你设置另外一个帐户并赋予管理员权限的时候,原来的Administrator便不在出现在登陆提示中,但是这个帐户是永远存在的,不能删除也不能修改,你用这个帐户登录后创建一个新的帐户,设置成为管理员即可。 你所说的没有在登录提示中出现你自己帐户的名字,是因为你在用户登录方式的选择上有问题,在用户帐户中选择登录和注销的方式问题就可以解决。 控制面板-用户帐户-“更改用户登陆或注销的方式”-去掉“使用欢迎屏幕”的勾。 然后重启,登陆时就会要求你输入用户名与密码,你输administrator和密码(没有就留空),点登陆就是内置管理员administrator的程序、界面了。 或者也可以用你后建的用户名直接登录系统后,注销一下,就会要求你输入用户名或者密码,这时你按两次:ctrl+alt+del键,就可以输入administrator了,进入系统后,你可以有两种选择: 一、删除你新建的那个用户名,具体到:我的电脑--右键--管理--本地用户和组--用户--右边就有你新建的用户,删除就可以了。 二、还想保留你新建的用户,但是想每次登录系统时,都用administrator直接进入系统: 单击“开始/运行”,输入“rundll32 ,UsersRunDll”,你可以复制一下命令。 按回车键后弹出“用户帐户”窗口,看清楚,这可跟“控制面板”中打开的“用户账户”面板窗口不同哦!然后取消选定“要使用本机,用户必须输入用户名和密码”选项,单击确定,在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。 也就是administrator。
在显示欢迎屏幕的时候(注消就可以出现),按ctrl alt del,会出现传统的登陆界面(用安全模式也可),输入Administrator就可以进去了,这样就可以删除其它的帐号了。控制面板——管理工具——计算机管理——系统工具——本地用户和组用户——用户——点鼠标右键——删除
重启到登录页面,两次Ctrl+Alt+Del,进入administrator,我的电脑右键,管理,系统工具,本地用户和组,点用户,把你键的那个删了,重启,administrator就有了可以使用,不过程序你得去安装目录去打开,文件可以直接打开的
如何删除新建的用户帐户?我的电脑 _右键_管理_本地用户和组_用户_删除你新建的用户_重起
第二种方法
为什么创建了一个新的用户帐户 原来那个就不见了?Hkey_LOCAL_macHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList 这下面建个dword值,名字为你的帐户名(administrator),值为1就OK了
一般只有内置管理员帐户和系统帐户才会被隐藏.你也可以把你要隐藏的帐户的值设为0,将之隐藏
安装Windows XP时,如果设置了一个管理员账户,那么系统内置没有密码保护的Administrator管理员账户是不会出现在用户登录列表中的。 虽然它身在幕后,可却拥有系统最高权限,为了方便操作及保证系统安全,可以先给它设置密码,然后再把它请到台前来。 以下便介绍具体方法。 1.使用“传统登录提示”登录 启动系统到欢迎屏幕时,按两次“Ctrl+Alt+Delete”组合键,在出现的登录框中输入Administrator账户的用户名和密码即可。 也可以单击“开始→控制面板”,双击“用户账号”图标,在弹出的“用户账号”窗口中,单击“更改用户登录或注销的方式”,去掉“使用欢迎屏幕”前的复选框,单击“应用选项”即可在启动时直接输入Administrator账户名及密码登录。 2.在登录的欢迎屏幕显示Administrator账户单击“开始→运行”,输入regedit后回车,打开注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList”分支,将右边的Administrator的值改为1,即可让Administrator账户出现在登录的欢迎屏幕上。 3.自动登录到Administrator账户单击“开始→运行”,输入control userpasswords2后回车,在打开的“用户账户”窗口去掉“要使用本机,用户必须输入密码”前的复选框,按“应用”后,在弹出的“自动登录”窗口中输入Administrator账户密码,按两次“确定”即可。 注意:如果原来就设置了其它账户自动登录,应该先选中“要使用本机,用户必须输入密码”前的复选框,按“应用”后再去掉选中的复选框。 也可以修改注册表实现自动登录,不过没有以上方法方便。
当然,如果不需要Administrator账户,可以依次打开“开始→控制面板→管理工具→计算机管理”,在“计算机管理”窗口,展开“系统工具→本地用户和组→用户”,在“用户”右边窗口双击Administrator账户,在弹出的“属性”窗口中选中“账号已停用”前的复选框,按“确定”即可停用Administrator账户。
华硕主板设置了bios开机密码,但重启输入后显示密码无效
BIOS密码分类根据用户设置的不同,开机密码一般分为两种不同情况,一种就是SetUP密码(采用此方式时,系统可直接启动,而仅仅只在进入BIOS设置时要求输入密码);另一种就是System密码(采用此方式时,无论是直接启动还是进行BIOS设置都要求输入密码,没有密码将一事无成)。 一、破解SETUP密码如果能正常进入计算机,而只是在进入BIOS的时候需要密码,那么就是设置了SetUP密码;有以下几种方法可以选择:1、在MS-DOS环境下输入:COPY CON 后回车,继续输入如下十个字符:ALT+176 ALT+17 ALT+230 p ALT+176 ALT+20 ALT+230 q ALT+205,然后按”F6″键,再按回车保存,运行文件后,重新开机即可。 2、遗忘密码之后只需在DOS状态下启动debug,然后输入如下命令即可手工清除密码: _ o 70 16 _ o 71 16 _ q 3、软件破解 常见的有BiosPwds、Cmospwd等。 其中BiosPwds是其中比较优秀的一个,可以检测出BIOS版本、BIOS更新日期、管理员密码、CMOS密码、密码类型等。 二、破解System密码 设置了这个密码后,不能正常开机运行,因为无法进入引导,也不能进入BIOS重新设置,有以下几种方法 1、跳线短接 打开机箱后,在主板CMOS电池附近会有一个跳线开关,在跳线旁边一般会注有RESET CMOS(重设CMOS)、CLEAN CMOS (清除CMOS)、CMOS CLOSE(CMOS关闭)或CMOSRAM RESET(CMOS内存重设)等字样,用跳线帽短接,然后将它跳回就行了 2、CMOS放电 打开电脑机箱,找到主板上银白色的纽扣电池。 小心将它取下,再把机箱尾部电源插头拔掉,用金属片短接电池底坐上的弹簧片,大概隔30秒后,再将电池装上。 CMOS将因断电而失去内部储存的信息,将电池装回,合上机箱开机,系统就会提示”CMOS Checksum Error-DeFaults Loaded”,那就是提示你CMOS在检查时发现了错误,已经载入了系统的默认值”BIOS密码破解成功。
发表评论