Suponiendo que no haya XSS y una página exclusiva del lado del cliente, ¿cómo se puede identificar un keylogger en el código javascript?
¿Debo simplemente buscar el ID de los campos específicos y posiblemente ¿Algún tipo de recorrido DOM para obtener el valor de una manera oscura?
¿Hay algo más?
Una forma rápida en la que evaluaría un sitio sería ejecutar una máquina virtual con un monitor de red y monitorear lo que se envía desde el sitio (y hacia dónde). Después de todo, un atacante de alguna manera necesita recopilar esos puntos de datos registrados.
Si no aparece nada, ingresaría el código. Usaría un depurador de javascript y vería exactamente qué funciones se estaban activando cuando escribí algo ...
Todo depende realmente de cómo lo programó el atacante ...
Si eres paranoico (como yo;) también puedes ejecutar NoScript también.
actualización
En respuesta a sus comentarios, explicaré cómo configurar un entorno seguro para el análisis de malware.
En general, se considera una buena práctica analizar siempre el malware (o el malware sospechoso) dentro de un entorno aislado. La forma más fácil sería configurar una máquina virtual (IE Virtual Box ) ejecutando una distribución Linux (recomiendo Helix ya que tiene todas las herramientas forenses integradas).
Una vez que haya configurado la VM (asegúrese de no darle acceso a la red y, básicamente, solo configúrela para que tenga un acceso muy limitado a la máquina host), puede realizar su análisis.
Ahora las razones para realizar el examen dentro de la VM son similares a un virólogo biológico que realiza el trabajo de laboratorio en un laboratorio BSL-3 seguro (BSL-4 en seguridad cibernética incluiría air-gap mide y eso, pero eso es una historia diferente).
Por supuesto, si desarrollaste el virus, sabrías lo que hace (presumiblemente) y así podrías jugar donde sea.
Si su intención es obtener la seguridad de que no se han realizado modificaciones maliciosas en su secuencia de comandos como parte de una revisión de seguridad de código de Whitebox, está buscando dos cosas:
Como se mencionó en otra parte, en última instancia, alguien intentará filtrar los datos. En este punto usted está buscando:
Lea otras preguntas en las etiquetas javascript keyloggers detection client-side