Seguridad Comprometida

Escrito el 26 diciembre, 2002 – 0:00 | por storm | 738 lecturas

…El script que creé, se apodera de los datos del portapapeles del usuario, y ademas captura las teclas presionadas en el formulario (aunque las borres, ya quedaran en el log) almacenandolos luego de que el usuario sale o cierra la página del script….

Leyendo un post de Afrael, decidí crear un script parecido al que él menciona, pero con algunas diferencias.

Cuando programé el InPlaceEditor para el administrador de mi weblog, se me ocurrió la idea de que podía obtener algunos datos adicionales del usuario utilizando el método execCommand de las librerías Dhtml de Microsoft, además del evento keycode de Javascript.

Ambos eventos comprometen peligrosamente la seguridad del usuario, y programarlos es bantante sencillo, con lo que la posibilidad de que alguién tome información “adicional” del usuario es bastante alta.

El script que creé, se apodera de los datos del portapapeles del usuario, y ademas captura las teclas presionadas en el formulario (aunque las borres, ya quedaran en el log) almacenandolos luego de que el usuario sale o cierra la página del script.

Pulsa aqui para probar el script (luego debes cerrarlo para poder ver los datos recogidos)
Pulsa aqui para ver los datos recogidos.

p.d.: En ningún momento almaceno los datos obtenidos.
p.d.2: Sólo lo he probado en MSIE 5.5 o superior.

You must be logged in to post a comment.

Buscar: