Come si può trovare keylogger in javascript?

2

Assumendo nessun XSS e una sola pagina lato client, come può un keylogger essere identificato nel codice javascript?

Dovrei semplicemente cercare l'id dei campi mirati e possibilmente una sorta di attraversamento DOM per ottenere il valore in modo oscuro?

C'è qualcos'altro?

    
posta 31.07.2014 - 22:36
fonte

2 risposte

2

Un modo rapido per valutare un sito sarebbe quello di eseguire una VM con un monitor di rete e monitorare ciò che viene inviato dal sito (e verso dove). Dopotutto, un hacker in qualche modo ha bisogno di raccogliere quei punti dati registrati.

Se non compare nulla, andrei a inserire il codice stesso. Userei un debugger javascript e vedere esattamente quali funzioni sono state attivate quando ho digitato qualcosa ...

Dipende tutto da come l'ha programmato l'attaccante ...

Se sei paranoico (come me;) potresti anche eseguire NoScript .

aggiornamento

In risposta ai tuoi commenti illustrerò come impostare un ambiente sicuro per l'analisi del malware.

In generale, è considerata una buona pratica analizzare sempre il malware (o il malware sospetto) all'interno di un ambiente isolato. Il modo più semplice sarebbe quello di configurare una macchina virtuale (IE Virtual Box ) con una distribuzione linux (consiglio Helix in quanto ha tutti gli strumenti forensi integrati).

Una volta che hai configurato la VM (assicurati di non fornirgli l'accesso alla rete e in pratica solo la configurazione per avere un accesso molto limitato alla macchina host), puoi quindi eseguire l'analisi.

Ora i motivi per eseguire l'esame all'interno della VM sono simili a un virologo biologico che svolge attività di laboratorio in un laboratorio BSL-3 sicuro (BSL-4 nella sicurezza informatica includerebbe air-gap misure e simili, ma questa è una storia diversa).

Naturalmente, se sviluppassi il virus, sapresti cosa fa (presumibilmente) e quindi potresti giocare ovunque.

    
risposta data 31.07.2014 - 23:33
fonte
0

Se la tua intenzione è quella di ottenere la certezza che nessuna modifica malevole è stata apportata al tuo script come parte di una revisione della sicurezza del codice whitebox, stai cercando due cose:

  1. Qualsiasi monitoraggio degli eventi della tastiera
  2. Qualsiasi lettura dal DOM

Come detto altrove - alla fine qualcuno cercherà di estrarre i dati. A questo punto stai cercando:

  1. Qualsiasi ajax o chiamate simili
  2. Qualsiasi modifica di link o URL
  3. Qualsiasi invio di moduli (inclusa la creazione di un iframe, ad esempio)
risposta data 01.08.2014 - 10:27
fonte

Leggi altre domande sui tag