对用户游览器的控制，CSRF全名是Cross-site request forgery，是一种对网站的 ...

，CSRF全名是Cross-site request forgery，是一种对网站的恶意利用，CSRF比XS ...

如上图，我们获取到了cookie，接下来利用cookie登录相应的网站。 我用的浏览器是火狐，首先在特定的网站（也就是我们发现XSS漏洞的网站，这里指的是pikachu）F12打开开发者工具，找到控制台，在最下面输入： 一般会有一个提示：不允许我们粘贴，我们先在命令行输入 ...

一、获取cookie 二、利用cookie进行登录 ...

在爬数据的时候，登录一直是一个比较麻烦的问题。我也一直在网上找过各种资料，都挺麻烦的，因为需要分析各种http过程，感觉太麻烦了。 不过最近在一个同学的帮助下，找到了使用cookie登录的方法。因为带cookie登录的话，server会认为你是一个已登录的用户，所以就会返回给你一个已登录的内容 ...

通过burpsuite可以比较方便的替换http头部的cookie、useragent等字段，在获取到用户的cookie后实现登录。具体使用方法如下： 如替换cookie，可以写正则表达式^Cookie.*$，替换内容则为cookie字段完整的内容。部分服务器可能会校验useragent ...

...

python 脚本跑出源码（见另一篇随笔） 读源码，构造cookie bp抓包，添加cookie :margin=margin 注意url，filename=keys.php keys.php要用base64加密传输， ...