說說:了解到現在,杜宇XSS的危害也有了一定程度的了解。
現在稍微總結一下吧:
其中最大危害莫過於可以獲取用戶登錄網站的cookie。
我們通過惡意腳本拿到了網站某個用戶的cookie,我們就可以通過這個cookie任意登錄這個網站。
疑問:不是說cookie有過期時間嗎?我們拿到之后,會不會就過期了,沒有用了。。。
首先,我們要搞明白什么是cookie過期!cookie過期只是你訪問服務器的時候不再帶着這個cookie!!理解好這一點,我們就可以確定,只要我們拿到一個網站的登錄cookie,我們就可以通過這個cookie進入該網站,而不會出現什么cookie過期。
當然,此時我們就要注意,我們在登錄該網站的時候,需要通過特定的cookie修改工具來登錄網站,因為瀏覽器是不允許修改cookie登錄網站的!