Cómo reconocer si alguien usando una contraseña Recordatorio de secuencia de comandos [cerrado]

Question

Cómo reconocer si alguien usando una contraseña Recordatorio de secuencia de comandos [cerrado]

#1 de Chirayu Chiripal (4 votos)

-2

He estado tratando de saber lo que realmente hacen estos llamados scripts de hacking de Gmail (solo estudiando con algún propósito de conocimiento) y uno de estos scripts es esto, que parece más allá de mi conocimiento:

“javascript:(function(){var%20s,F,j,f,i;%20s%20=%20%22%22;%20F%20=%20document.forms;%20for(j=0;%20j%20{%20f%20=%20F[j];%20for%20(i=0;%20i{%20if%20(f[i].type.toLowerCase()%20==%20%22password%22)%20s%20+
=%20f[i].value%20+%20%22n%22;%20}%20}%20if%20(s)%20alert(%22Passwords%20in%20forms%20on%20this%20page:nn%22%20+%20s);
%20else%20alert(%22There%20are%20no%20passwords%20in%20forms%20on%20this%20page.%22);})();.”

JavaScript desenfocado:

javascript: (function () {
            var s, F, j, f, i;
           s = "";
           F = document.forms;
            for (j = 0; j {
                f = F[j];
                for (i = 0; i {
                            if (f[i].type.toLowerCase() == "password") s + = f[i].value + "n";
                    }
                }
                if (s) alert("Passwords in forms on this page:nn" + s);
                else alert("There are no passwords in forms on this page.");
             })();.”

Me preguntaba si alguien podría ayudarme a entender esto para poder reconocer si alguien ha inyectado este JavaScript en mi navegador web o no.

web-browser javascript

pregunta Shashank 17.06.2014 - 21:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser javascript

¿El cinismo tiene un rol válido en la seguridad de la información? [cerrado] ¿Qué tipo de hash es que [cerrado]

score 4 · Accepted Answer

¿Cómo reconocer si alguien usa una contraseña para recordar la secuencia de comandos?

¡Bien, si las contraseñas aparecen directamente cuando alguien abre una página de inicio de sesión!

En una nota seria, el javascript que dio aquí no puede hackear su cuenta de Gmail, en realidad, cualquier cuenta dado que la función de alerta utilizada aquí es la función javascript predeterminada y no otra función con el mismo nombre definido en otros scripts que se ejecutan lo que puede ser peligroso (vea el comentario de drjimbob a continuación para saber cómo puede ser peligroso).

Teniendo en cuenta que es la función de alerta predeterminada, en realidad busca todos los campos de entrada del tipo de contraseña y guarda su valor en una variable y luego alerta (todos los tipos de cuadros de diálogo) todos los valores reales en lugar de "****" si algún campo de contraseña está presente. No está enviando su contraseña a nadie. Si no está recibiendo dicha alerta, esto no se inyecta en su navegador. Además, esta secuencia de comandos no funcionará a menos que se ejecute después de cargar la página.

Además, si está guardando contraseñas en el navegador, puede ir a las preferencias y ver las contraseñas guardadas allí (los pasos reales dependen del navegador que se esté usando) si tampoco están protegidos por contraseña.

Tipos de javascripts similares se difunden con frecuencia en los sitios de redes sociales y dicen que este javascript puede piratear la cuenta de su amigo o cualquier otra cosa que, cuando se ejecuta en el navegador, hace comentarios, publicaciones, me gusta, comparte el mismo javascript y se propaga aún más para ganar. atención. Nunca ejecute dichos scripts, ya que también pueden robar sus cookies y pueden usarse para iniciar sesión en su cuenta.

Finalmente, no guarde sus contraseñas en computadoras públicas y no permita que nadie acceda a su computadora personal.