利用XSS盗取cookie并登录(DVWA) 1、发现xss漏洞 输入构造js代码 有弹出框,存在xss漏洞 2、盗取cookie xss漏洞框架创建项目,一直点下一步,在选择攻击模块时,选择“默认模块”,并勾选keepsession,即保持连接,刷新cookie,保持cookie的时效性,否则没有及时查看,cookie很可能过期失效了 在含xss漏洞的地方插入以上标记任一代码 点击项目查看得到cookie 3、利用cookie登录 利用开发者工具在箭头处填入获取的cookie 刷新网站,无需输入密码,直接进入