xss之cookie窃取

一、窃取cookie有什么用？

cookie相当于一个身份证 有了管理员的cookie我们不需要帐号密码就可以登陆

二、反射型xss有存贮型xss什么区别？

反射 xss  和服务器没有交互 只能用一次

储存 xss  和服务器有交互 可以反复使用 危害较大

三、本次教程用到的工具

1.phpstudy（PHP调试环境的程序集成包 ）

2.dvwa （一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞 ）

3.明小子（ 注入工具，可以修改cookie ）

工具请自行百度下载，官网有免费的

DVWA默认的用户有5个，用户名密码如下（一个足以）：

admin/password

gordonb/abc123

1337/charley

pablo/letmein

smithy/password

Win7 下DVWA安装指南

http://www.cnblogs.com/amberly/p/6089224.html

四、具体步骤如下：

1.打开一个xss平台

2.点击“创建”

项目名称和项目描述随便写，点击下一步

3.勾选“默认模块，点击下一步”

4.将如下代码植入怀疑出现xss的地方，随便选一个即可

5.xss平台接收cookie

6.修改cookie

无需管理员帐号密码成功登录

五、配套视频教程：链接：https://share.weiyun.com/55bed3c88bc66837cc1fdff292d33a4c （密码：K0ZE51）