QQ交流群:811401950
一. XSS cookie劫持原理
Cookie中一般加密保存了当前用户的登陆凭证。Cookie如果丢失,往往意味着用户的登陆凭证丢失。换句话说,攻击者可以不通过密码,而直接登陆进用户账户。
二.工具及环境
① DVWA靶场环境
② Hackbar火狐组件
③ Windows7 虚拟机(存放收集cookie信息的php脚本文件)
三.具体步骤
-
登陆DVWA靶场,调整安全级别为low,进入到XSS reflect(反射型XSS)页面。
图一 登陆界面
图二 选择安全级别,进入 -
进行XSS测试,输入 #
-
编写收集cookie信息的php脚本,该脚本存放与windows7网站根目录下面。
图五cookie脚本