在初步探测到XSS漏洞时,此时我们可以使⽤xss在线平台,去获取⼀些我们需要的信息,⽐如,位置/键盘记录/IP地址/表单等。
○ https://xssaq.com/xss.php?do=login
步骤⼀:在以下XSS平台注册账号并登陆,点击"创建项⽬"并填写项目名称...立即提交
步骤⼆:在我的项⽬中选择我们刚创建的项⽬ 点击右上⻆的查看配置代码
步骤三:复制script这⼀条代码
步骤四:打开⼀个pikachu平台 xss盲打并将我们刚才复制的script恶意代码输⼊进去
步骤五:模拟管理员登录后台的操作 登录完成后触发我们插⼊的恶意代码
步骤六:此时回到平台上可看到其劫持的Cookie信息.
点击查看 可以查看到其中的cookie字段