Archive for diciembre 26th, 2002

Seguridad Comprometida

jueves, diciembre 26th, 2002 830 lecturas

…El script que creé, se apodera de los datos del portapapeles del usuario, y ademas captura las teclas presionadas en el formulario (aunque las borres, ya quedaran en el log) almacenandolos luego de que el usuario sale o cierra la página del script….

Leyendo un post de Afrael, decidí crear un script parecido al que él menciona, pero con algunas diferencias.

Cuando programé el InPlaceEditor para el administrador de mi weblog, se me ocurrió la idea de que podía obtener algunos datos adicionales del usuario utilizando el método execCommand de las librerías Dhtml de Microsoft, además del evento keycode de Javascript.

Ambos eventos comprometen peligrosamente la seguridad del usuario, y programarlos es bantante sencillo, con lo que la posibilidad de que alguién tome información “adicional” del usuario es bastante alta.

El script que creé, se apodera de los datos del portapapeles del usuario, y ademas captura las teclas presionadas en el formulario (aunque las borres, ya quedaran en el log) almacenandolos luego de que el usuario sale o cierra la página del script.

Pulsa aqui para probar el script (luego debes cerrarlo para poder ver los datos recogidos)
Pulsa aqui para ver los datos recogidos.

p.d.: En ningún momento almaceno los datos obtenidos.
p.d.2: Sólo lo he probado en MSIE 5.5 o superior.

Buscar: