Web应用安全：XSS盗取cookiepayload.pptx

XSS 盗取cookie payload 4 Cookie的后利用 3 XSS 盗取cookie payload 实例演示 2 XSS 盗取cookie payload 原理分析 1 cookie简介 目录 cookie简介 Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。 举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。 也就是如果我们获取到了用户访问网站的cookie，我们就能通过这个cookie，以用户的身份访问该网站。 原理分析 攻击者将可以获取并发送管理员的cookie的恶意XSS脚本到管理员访问的网站。 当管理员访问网站的时候，恶意的XSS脚本将会被运行。 攻击者就可以接收到管理员自动发送的cookie。 原理分析 实例演示 1.攻击者发送恶意XSS脚本到网站中 本次我们使用上一节课程搭建的pikachu站点