原帖地址：24eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2B7k6$3y4Q4x3X3g2G2M7X3N6Q4x3V1j5J5x3o6p5I4i4K6u0r3x3o6q4Q4x3V1k6U0L8$3c8W2i4K6u0V1K9h3&6B7k6h3y4@1k6h3c8Q4x3X3c8@1L8#2)9J5k6s2y4@1k6h3q4D9i4K6u0V1M7r3q4K6M7%4N6G2M7X3c8K6i4K6u0V1K9h3&6Q4x3X3g2Z5N6r3#2D9
发生在突尼斯的事件，用户访问facebook和google mail时会被窃取账号密码，很多人的不同网站的账号密码都是使用同一个，一旦一个丢掉那很有可能带来灭顶之灾。不知道我们国家的淫淫网做的怎么样。

突尼斯盗取密码的注入代码
网上传了几个星期了，但是我终于看到了突尼斯的某人（假设是政府）是从大网站比如Google Mail和Facebook如何窃取用户名和密码的。

攻击过程如下：

1、        用户访问Facebook时，Javascript脚本会被注入到页面中用户输入用户名和密码的位置。Facebook上这些页面是通过HTTP提供的，所以如果你能在ISP（Internet Service Provider）层截获的话注入是完全可能的。真实的用户名和密码通过HTTPS发送，而一旦JavaScript注入了就完蛋了。
2、        登录表单本身被修改包含了一个提交处理器来调用Javascript函数hAAAQ3d（读作hacked）。那个函数读取用户名和密码并提交一个HTTP调用给一个假的Facebook页面。这个页面（名叫wo0dh3ad,我想你可以读作woodhead榆木脑袋）把用户名和密码附加上一些代码作为参数来使URL安全。
3、        某地的某个人读取这些URL来抽取用户名和密码。然后可以通过一个日志文件，或者一个防火墙配置过滤这些请求来让用户永远上不了Facebook。

我已经把代码贴在了下面，主要的函数是hAAAQ3d，r5t（产生一个随机的字符串添加到发送用户名和密码的请求URL中）和h6h（我读作hash，它把用户名和密码转换为能在一个URL中安全传送的小写字符串）。

还有助手函数inv0k(1,2,3)（我读作invoke恳求），它产生真正的HTTP请求。两个用于不同的浏览器类型而第三个没有用到，但它做的是修改一个注入图像标签tag来获取用来发送用户名/密码的同一个URL。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课