xss之cookie窃取




一、窃取cookie有什么用?
cookie相当于一个身份证 有了管理员的cookie我们不需要帐号密码就可以登陆

二、反射型xss有存贮型xss什么区别?
反射 xss  和服务器没有交互 只能用一次

储存 xss  和服务器有交互 可以反复使用 危害较大

三、本次教程用到的工具
1.phpstudy(PHP调试环境的程序集成包
2.dvwa 一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞
3.明小子( 注入工具,可以修改cookie

工具请自行百度下载,官网有免费的

DVWA默认的用户有5个,用户名密码如下(一个足以):

admin/password

gordonb/abc123

1337/charley

pablo/letmein

smithy/password


Win7 下DVWA安装指南
http://www.cnblogs.com/amberly/p/6089224.html

四、具体步骤如下:

1.打开一个xss平台
2.点击“创建”
项目名称和项目描述随便写,点击下一步

3.勾选“默认模块,点击下一步”
4.将如下代码植入怀疑出现xss的地方,随便选一个即可

5.xss平台接收cookie

6.修改cookie
无需管理员帐号密码成功登录
五、配套视频教程:链接:https://share.weiyun.com/55bed3c88bc66837cc1fdff292d33a4c (密码:K0ZE51)

转载于:https://www.cnblogs.com/luosec/p/9064658.html

你可能感兴趣的:(xss之cookie窃取)