说说:了解到现在,杜宇XSS的危害也有了一定程度的了解。
现在稍微总结一下吧:
其中最大危害莫过于可以获取用户登录网站的cookie。
我们通过恶意脚本拿到了网站某个用户的cookie,我们就可以通过这个cookie任意登录这个网站。
疑问:不是说cookie有过期时间吗?我们拿到之后,会不会就过期了,没有用了。。。
首先,我们要搞明白什么是cookie过期!cookie过期只是你访问服务器的时候不再带着这个cookie!!理解好这一点,我们就可以确定,只要我们拿到一个网站的登录cookie,我们就可以通过这个cookie进入该网站,而不会出现什么cookie过期。
当然,此时我们就要注意,我们在登录该网站的时候,需要通过特定的cookie修改工具来登录网站,因为浏览器是不允许修改cookie登录网站的!