Iframe JavaScript Keylogger
Est-il possible pour un site Web d'avoir un keylogger JavaScript et contient également un iframe qui va sur un site "client".
- Le JS enregistre-t-il tous les coups de clé sur le site client?
- L'iframe (hôte) peut-il être invisible ou 0 x 0 en taille?
- Le site "client" peut-il détecter et casser l'iframe?
Vous pouvez incorporer un fichier .js à l'aide d'un XSS stocké pour effectuer le keylogging à distance. En utilisant Ajax, il devrait être facile de faire la journalisation à distance. Regardez le Keylogger JavaScript ici. http://code.google.com/p/javascript-keylogger
Réglage de la largeur de l'iframe et de la hauteur à zéro répond à la deuxième question
<iframe src="attacker.com/log.php" width="0" height="0">
Ce que vous demandez à la 3ème question est le casting. Il existe des techniques pour faire cela, https://www.owasp.org/index.php/clickjacking#definking_with_frame_breaking_scripts