原理:1.检测网站是否存在xss注入点
2.条件:(1)被攻击用户曾经登陆过该网站,并且客户端保留有cookie值
(2)该网站是否存在xss注入点
3.编写带有恶意代码的url,发送给被攻击者,诱导被攻击者点击(该url可以拿到被浏览器自动加入的攻击者cookie,并发送到攻击者的邮箱)
4.攻击者拿到cookie信息后,请求网站,并用burpsuite将被攻击者cookie信息写入请求报文中
5.攻击者成功通过被攻击者的cookie登录网站
原理:1.检测网站是否存在xss注入点
2.条件:(1)被攻击用户曾经登陆过该网站,并且客户端保留有cookie值
(2)该网站是否存在xss注入点
3.编写带有恶意代码的url,发送给被攻击者,诱导被攻击者点击(该url可以拿到被浏览器自动加入的攻击者cookie,并发送到攻击者的邮箱)
4.攻击者拿到cookie信息后,请求网站,并用burpsuite将被攻击者cookie信息写入请求报文中
5.攻击者成功通过被攻击者的cookie登录网站