xss 盲打

XSS 盲打

为什么教盲打,是因为处于被动,要等待受害者触发

1.利用存储型XSS

先将代码写入留言。同时kali开启端口监听(下面IP是kali的)

xss 盲打_第1张图片

等待管理员访问,只要管理员访问留言板。

xss 盲打_第2张图片

2.获取cms 网站后台管理员Cookie

我们就能获取到cookie信息。

3.攻击者登录后台

在控制台输入:

xss 盲打_第3张图片

访问admin

xss 盲打_第4张图片

成功进入

xss 盲打_第5张图片

你可能感兴趣的:(xss跨站脚本,xss,安全,前端)