原帖地址：http://blog.jgc.org/2011/01/code-injected-to-steal-passwords-in.html
发生在突尼斯的事件，用户访问facebook和google mail时会被窃取账号密码，很多人的不同网站的账号密码都是使用同一个，一旦一个丢掉那很有可能带来灭顶之灾。不知道我们国家的淫淫网做的怎么样。

突尼斯盗取密码的注入代码
网上传了几个星期了，但是我终于看到了突尼斯的某人（假设是政府）是从大网站比如Google Mail和Facebook如何窃取用户名和密码的。

攻击过程如下：

1、        用户访问Facebook时，Javascript脚本会被注入到页面中用户输入用户名和密码的位置。Facebook上这些页面是通过HTTP提供的，所以如果你能在ISP（Internet Service Provider）层截获的话注入是完全可能的。真实的用户名和密码通过HTTPS发送，而一旦JavaScript注入了就完蛋了。
2、        登录表单本身被修改包含了一个提交处理器来调用Javascript函数hAAAQ3d（读作hacked）。那个函数读取用户名和密码并提交一个HTTP调用给一个假的Facebook页面。这个页面（名叫wo0dh3ad,我想你可以读作woodhead榆木脑袋）把用户名和密码附加上一些代码作为参数来使URL安全。
3、        某地的某个人读取这些URL来抽取用户名和密码。然后可以通过一个日志文件，或者一个防火墙配置过滤这些请求来让用户永远上不了Facebook。

我已经把代码贴在了下面，主要的函数是hAAAQ3d，r5t（产生一个随机的字符串添加到发送用户名和密码的请求URL中）和h6h（我读作hash，它把用户名和密码转换为能在一个URL中安全传送的小写字符串）。

还有助手函数inv0k(1,2,3)（我读作invoke恳求），它产生真正的HTTP请求。两个用于不同的浏览器类型而第三个没有用到，但它做的是修改一个注入图像标签tag来获取用来发送用户名/密码的同一个URL。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)