Comments on: Un keylogger en Javascript

By: xulandrix

xulandrix — Sat, 30 Jan 2010 19:55:09 +0000

@zeojex :
lol qui ne sait pas sa ^^

By: pti-seb

pti-seb — Wed, 06 Jan 2010 22:47:28 +0000

@Tuxicoman : pour que javascript fonctionne, je pense qu'il faut qu'elle soit active. Ce serait trop facile sinon, cela permettrait de loger tous ce qui est saisie en dehors du navigateur.

By: Tuxicoman

Tuxicoman — Wed, 06 Jan 2010 22:33:21 +0000

Faut il que la fenetre web soit active ou juste affichée pour que le keylogger fonctionne ?

By: zeojex

zeojex — Thu, 03 Dec 2009 15:54:10 +0000

On pourrait aussi noter que ce code peut être exploité sans injection avec une page piégée (moins intéressant bien sur). Il suffit d'utiliser sa propre page Web (de petit morveux qui se respecte), d'implémenter le code javascript avec en plus ce petit bout de php tout bête qui récupère le code source d'une page web victime : echo file_get_contents(url). On affiche donc une page web choisie chez la victime et qui sera "écoutée" chez le hacker.
(maquillage et diffusion de l'url-piégée oblige). Solution maintes fois exploitée.

By: Benoît

Benoît — Wed, 02 Dec 2009 10:44:17 +0000

Il est possible d'avoir ce système en mode persistant : XSS Shell. Du moins tant qu'on continue de naviguer
Ce système va même jusqu'à créer un proxy pour surfer de son poste avec les droits de la victime.
Quand à trouver des failles XSS, pas besoin de s'embêter puisqu'on nous les sert sur un plateau sur le site XSSed

By: rdesbonnet

rdesbonnet — Tue, 01 Dec 2009 19:28:35 +0000

L'astuce est déjà connue, mais il est toujours bon d'informer les utilisateurs ! Et @bourvill faut juste pas perdre son temps sur le site de "petits merdeux de 15ans". Enfin souvant on rigole bien à voir le super site des jailbreakers de "Polly Pocket" en culotte courte

By: Tixlegeek

Tixlegeek — Tue, 01 Dec 2009 12:23:43 +0000

Salut

Ce genre de script est assez utilisé pour des trucs un peut moins pernicieux, comme les sésames. Quand j'étais plus jeune, une script de keylogging scrutait les combinaisons de touches, si une séquence était détectée, alors celui qui l'avait tappée entrait sur une page spéciale - et cachée -

Enfin, ca a le mérite de faire une petite note underground pour ameuter les curieux !

plusplus

By: pti-seb

pti-seb — Tue, 01 Dec 2009 11:50:51 +0000

@bourvill : à condition que le morveux en question trouve une faille XSS et sache l'exploiter correctement. C'est pas donné à tout le monde ...

@Bastien : j'ai pas poussé le concept jusqu'au bout. Mais effectivement, si une url avec une faille XSS est envoyée à beaucoup de monde, le fichier collectera beaucoup trop de caractères. Le mieux est peut-être la personnalisation du script JavaScript pour chaque victime, afin de séparer les fichiers de logs.

By: Bastien

Bastien — Tue, 01 Dec 2009 10:10:23 +0000

Ca mériterait un fichier par IP ou par je sais pas quoi... Car là avec des connexions concurrentes, le fichier txt va vite devenir un bordel qui n'aura servi à rien :p

By: einboubou

einboubou — Tue, 01 Dec 2009 09:40:47 +0000

je trouve ça avant fort et je n'y avais pas pensé.
C'est pas le problème des gens qui le mettent sur leur site, mais, comme indiqué, plutôt de ceux qui l'injecte via une faille XSS. Si il est injecté et que quelqu'un rentre son loggin/pass sur la page, le méchant connaitra le loggin/pass!