javascript表单劫持用户密码(后门免杀)

最新推荐文章于 2024-07-22 22:35:58 发布
最新推荐文章于 2024-07-22 22:35:58 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: web安全 编程语言 网站安全 文章标签: 漏洞分析 密码安全 量子密码 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wodafa/article/details/72528431
版权
本文介绍了在RSA 2017安全大会上关于密码学的一个专场研讨,探讨了如何利用JavaScript进行表单劫持,从而获取用户密码的安全问题。同时,提供了一份实用的入侵指南,详述了现场开锁的实际操作教程,强调了密码安全与入侵检测的重要性。
摘要由CSDN通过智能技术生成
试验开始 javascript表单劫持

其实应该可以留有很多后门,但是我暂时只想到这一种,还希望社区的大神能够完善这篇文章·~~~~
原理:在正常的登陆页面,留下一段恶意JS代码,在登陆账号密码的同时,也会把账号密码悄悄的发送到我们的站点上~~~

test.html 正常页面

test2.php 用来验证账号密码数据的正常页面

test3.php 攻击站点用来接收账号密码的页面

http://127.0.0.1  你自己的攻击站

RSA 2017安全大会·密码学专场研讨会

实用入侵指南:真·现场开锁教程


正常页面 Test.html




原始的界面,自己简化了,代码内容如下
[AppleScript]  纯文本查看  复制代码
?
1
2
3
4
5
6
7
8
9
< form action = "test2.php" method = "POST" id = "form" >
 
   < input type = "text" name = "user" >
 
   < input type = "password" name = "pass" >
 
   < input type = "submit" >
 
< / form >

一般的情况下输入密码,数据提交给test2.php,很正常的一个页面~~
现在我们要在test.html里插入一段代码,用JS动态的创建一个iframe,包含表单里账号密码的值,把表单里的值发送到test3.php(我们的恶意接收站点)里 
最低0.47元/天 解锁文章
i春秋论坛
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
http——学习记录
m0_68897489的博客
07-05 841
HTTP
JavaScript的函数劫持
03-14
NULL 博文链接:https://hongan.iteye.com/blog/287081
浅谈javascript函数劫持
03-14 316
  2. 设置陷阱实时捕捉跨站测试者,搞跨站的人总习惯用alert来确认是否存在跨站,如果你要监控是否有人在测试你的网站xss的话,可以在你要监控的页面里hook alert函数,记录alert调用情况:  当然,你这个函数要加到页面的最开始,而且还要比较隐蔽一些,赫赫,你甚至可以使alert不弹框或者弹个警告框,让测试者抓狂一把。  4. 灵活的使用js劫持辅助你的页面代码分析
JS劫持、DNS劫持与页面劫持跳转详解
最新发布
weixin_65409651的博客
07-22 852
JS劫持JavaScript Hijacking)是一种通过恶意JavaScript代码控制或篡改网页内容的攻击手段。攻击者可以注入恶意代码,劫持用户的操作,窃取敏感信息或执行未授权的操作。DNS劫持(DNS Hijacking)是一种通过篡改域名系统(DNS)解析结果,将用户重定向到恶意网站的攻击手段。攻击者可以通过多种方式实现DNS劫持,包括修改DNS设置、攻击DNS服务器或通过恶意软件感染用户设备。
JavaScript函数劫持
weixin_33804582的博客
04-14 294
一、为什么我会写这篇文章 这篇文章其实是在一个偶然的机会下发现了居然有JavaScript劫持这种东西,虽然这种东西在平时用的比较少,而且一般实用价值不高,但是在一些特殊的情况下还是要使用到的,所以在这里我就简单的介绍一下 不知道你们在平时有没有注意到这样的一种情况就是每当使用alert()方法的时候,都会感觉这样的方法太过的单调,像加个样式或者是什么的。下面我们就来讲解一下 二、一个关于J...
利用javaScript窃取本地表单密码
月下淡水
11-07 1321
现如今,很多浏览器都有智能填写表单功能,当我们第一次在网站上填写某个表单并且登陆的时候, 浏览器会询问我们是否记住帐号密码以便下次登陆,当我们选择是的时候,浏览器会帮我们把帐号密码 保存起来,当我们下次访问那个网页的时候,会发现浏览器就会自动地帮我们把用户名和密码都填写好 。如我们学们学校的教务处网 : 此时,表单里的用户名和密码已经被填写,因为用户名的表单类型通常type="text"
JavaScript劫持
weixin_53596260的博客
07-14 881
JavaScript劫持
----- 前端面试题 -----
weixin_53170812的博客
07-30 609
HTML5新增的元素 首先html5为了更好的实践web语义化,增加了header,footer,nav,aside,section等语义化标签,在表单方面,为了增强表单,为input增加了color,emial,data ,range等类型,在存储方面,提供了sessionStorage,localStorage,和离线存储,通过这些存储方式方便数据在客户端的存储和获取,在多媒体方面规定了音频和视频元素audio和vedio,另外还有地理定位,canvas画布,拖放,多线程编程的web worker和w
HTTP协议(二)
o_hihgy的博客
05-30 866
七、报文
浅谈javascript函数劫持[转自xfocus]第1/3页
01-19
一、概述 javascript函数劫持,也就是老外提到的javascript hijacking技术。最早还是和剑心同学讨论问题时偶然看到的一段代码,大概这样写的: window.alert = function(s) {}; 觉得这种用法很巧妙新颖,和API Hook异曲同工,索性称之为javascript function hook,也就是函数劫持。通过替换js函数的实现来达到劫持这个函数调用的目的,一个完整的hook alert函数例子如下: <!–1.htm–> 代码如下: [removed] <!– var _alert = alert;
最新超级免杀的五次后门
04-13
五次后门大家都知道的啊!~~~~~~~~~~~~~~~~~~~~~~~~~~~~
后门免杀360远控
06-17
后门免杀,过360五引擎等,
JavaScript——劫持
z_2532040197的博客
06-15 2316
概念:函数劫持,顾名思义,即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数了,而是带上了被我们添加上去的功能。这也是我们常见的钩子函数的原理之一。...
JavaScript中的劫持
qq_47455650的博客
07-07 788
this劫持 运行结果:定义式的函数在设计的时候就指定this 运行结果:
object.defineproperty数据劫持
y_programmer_ape的博客
10-15 963
object.defineproperty() 1.定义:该方法是在对象上定义一个新属性,或者修改一个对象的现有属性,并返回此对象。监听对象下的某一个属性,数据劫持处理。 2.语法:Object.defineProperty(obj, prop, descriptor) (1) 参一:要定义属性的对象。 (2) 参二:要定义或修改的属性的名称或 Symbol (被监听的属性)。 (3) 参三:要定义或修改的属性描述符(存取描述符:options{getter,setter})。 (4) 返回值:被传递给函
JavaScript 的点击劫持(Clickjacking)
爱蹦跶的全栈大A阿
02-14 2163
点击劫持是一种恶意攻击,攻击者会在用户不知情的情况下诱使用户点击他们想要点击的元素。通常情况下,攻击者会将一个透明的 iframe 覆盖在合法的网页上,并将其放置在用户可能点击的位置。当用户点击该位置时,他们实际上是在点击 iframe 中的恶意链接。窃取用户的个人信息:攻击者可以利用点击劫持来窃取用户的登录凭据、信用卡信息和其他敏感信息。感染用户的设备:攻击者可以利用点击劫持来诱使用户下载恶意软件或访问恶意网站,从而感染用户的设备。造成经济损失。
JavaScript表单验证:用户名、密码及日期检查
用户注册表单提交验证”涉及JavaScript中的表单验证技术,特别是关于用户名和密码的正则表达式验证。这个主题涵盖多个方面的表单数据验证,包括日期比较、检查空值或全空格、验证日期格式、确认字符串仅包含字母...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值