js знаю более менее, не понятно как внедрить файл в тот же самый вк и как перехватывать трафик, был бы благодарен, если кто-то шарит и может на простом примере показать
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как внедрить js файл для отслеживания всего исходящего трафика при входе в вк
- Автор темы first_name_last_name777
- Дата начала
Можно реализовать с помощью расширения браузера, глянь ТУТ, думаю то, что тебе нужно.
- Автор темы
- Добавить закладку
- #3
думаю стоит попробовать, посмотрю что с этим можно сделать, спасибо вам большое, если есть ещё идеи, буду рад посмотреть на них(не важно на чем хоть на python)
если это js-трафик, ну в 99% это так и будет, то достаточно повесить хак на XMLHttpRequest
и под твоим котролем будет фактически весь трафик сайта
JavaScript:
(function() {
var origOpen = XMLHttpRequest.prototype.open;
XMLHttpRequest.prototype.open = function() {
console.log('request started!');
this.addEventListener('load', function() {
console.log('request completed!');
console.log(this.readyState);
console.log(this.responseText);
});
origOpen.apply(this, arguments);
};
})();и под твоим котролем будет фактически весь трафик сайта
Вот не плохое решение https://www.ericzhang.me/projects/chromelogger/
В моем фейке есть функционал - замена js, html код при запросе, мой фейк как обратный прокси работает. Я вижу, что js ты хорошо знаешь, и тебе по силам было бы сделать такой js код, который я будет например запрашивать данные у юзера, как бы что-то типа инжекта, ты занимаешься разработкой на заказ?
нет под заказ ничего не делаю, сорри, ну просто ради любопытсва интересно стало
ну я так и не понял конечную цель твоей затеи
предположим у тебя стандартный митм есть, ты можешь подменять содержимое страницы, ну ок, отлично, а что ты хочешь то?
сграбить введенные логин/пароль ?
если там просто пост станадартный то через onsubmit ты можешь отправить сначало себе отдав скажем false на реальный пост, и потом "отпустить" запрос на реальный домен, когда функция в onsubmit получит ответы от твоего сервера, что ок, пароль записан
если там сложные скрипты не понятно как и кто отправяел пост запросы то выше приведенный скрипт отлично справится с этим - проксируй ВСЕ пост запросы на свой сервер вот тебе и будет логгер полный. только про ссл на забывай, вот утт бесплатно за 10 минут можно сделать https://www.sslforfree.com/
ну я так и не понял конечную цель твоей затеи
предположим у тебя стандартный митм есть, ты можешь подменять содержимое страницы, ну ок, отлично, а что ты хочешь то?
сграбить введенные логин/пароль ?
если там просто пост станадартный то через onsubmit ты можешь отправить сначало себе отдав скажем false на реальный пост, и потом "отпустить" запрос на реальный домен, когда функция в onsubmit получит ответы от твоего сервера, что ок, пароль записан
если там сложные скрипты не понятно как и кто отправяел пост запросы то выше приведенный скрипт отлично справится с этим - проксируй ВСЕ пост запросы на свой сервер вот тебе и будет логгер полный. только про ссл на забывай, вот утт бесплатно за 10 минут можно сделать https://www.sslforfree.com/
Я юзаю летскрипт, там автоматом скриптами можно получить серт, типа так:
./certbot-auto certonly --standalone ... ...
переопределение onsubmit - да спасибо за наводку - время как найду обязательно займусь, прям как в старые добрые времена перехват апи
используется принцип
./certbot-auto certonly --standalone ... ...
переопределение onsubmit - да спасибо за наводку - время как найду обязательно займусь, прям как в старые добрые времена перехват апи
используется принцип