Commentaires sur : Un keylogger en Javascript

Par : zeojex

zeojex — Mon, 31 May 2010 14:31:31 +0000

@xulandrix : Des ptits morveux

Par : Luchador

Luchador — Mon, 31 May 2010 13:11:26 +0000

merci amis Pour le Code , Permet moi de poser un question est ce qu'il est possible
de faire un Keylogger Qui enregister tous les keys Pressez Lorsque la page s'execute

Par : xulandrix

xulandrix — Sat, 30 Jan 2010 19:55:09 +0000

@zeojex :
lol qui ne sait pas sa ^^

Par : pti-seb

pti-seb — Wed, 06 Jan 2010 22:47:28 +0000

@Tuxicoman : pour que javascript fonctionne, je pense qu'il faut qu'elle soit active. Ce serait trop facile sinon, cela permettrait de loger tous ce qui est saisie en dehors du navigateur.

Par : Tuxicoman

Tuxicoman — Wed, 06 Jan 2010 22:33:21 +0000

Faut il que la fenetre web soit active ou juste affichée pour que le keylogger fonctionne ?

Par : zeojex

zeojex — Thu, 03 Dec 2009 15:54:10 +0000

On pourrait aussi noter que ce code peut être exploité sans injection avec une page piégée (moins intéressant bien sur). Il suffit d'utiliser sa propre page Web (de petit morveux qui se respecte), d'implémenter le code javascript avec en plus ce petit bout de php tout bête qui récupère le code source d'une page web victime : echo file_get_contents(url). On affiche donc une page web choisie chez la victime et qui sera "écoutée" chez le hacker. (maquillage et diffusion de l'url-piégée oblige). Solution maintes fois exploitée.

Par : Benoît

Benoît — Wed, 02 Dec 2009 10:44:17 +0000

Il est possible d'avoir ce système en mode persistant : XSS Shell. Du moins tant qu'on continue de naviguer
Ce système va même jusqu'à créer un proxy pour surfer de son poste avec les droits de la victime.
Quand à trouver des failles XSS, pas besoin de s'embêter puisqu'on nous les sert sur un plateau sur le site XSSed

Par : rdesbonnet

rdesbonnet — Tue, 01 Dec 2009 19:28:35 +0000

L'astuce est déjà connue, mais il est toujours bon d'informer les utilisateurs ! Et @bourvill faut juste pas perdre son temps sur le site de "petits merdeux de 15ans". Enfin souvant on rigole bien à voir le super site des jailbreakers de "Polly Pocket" en culotte courte

Par : Tixlegeek

Tixlegeek — Tue, 01 Dec 2009 12:23:43 +0000

Salut

Ce genre de script est assez utilisé pour des trucs un peut moins pernicieux, comme les sésames. Quand j'étais plus jeune, une script de keylogging scrutait les combinaisons de touches, si une séquence était détectée, alors celui qui l'avait tappée entrait sur une page spéciale - et cachée -

Enfin, ca a le mérite de faire une petite note underground pour ameuter les curieux !

plusplus

Par : pti-seb

pti-seb — Tue, 01 Dec 2009 11:50:51 +0000

@bourvill : à condition que le morveux en question trouve une faille XSS et sache l'exploiter correctement. C'est pas donné à tout le monde ...

@Bastien : j'ai pas poussé le concept jusqu'au bout. Mais effectivement, si une url avec une faille XSS est envoyée à beaucoup de monde, le fichier collectera beaucoup trop de caractères. Le mieux est peut-être la personnalisation du script JavaScript pour chaque victime, afin de séparer les fichiers de logs.