XSS漏洞演示

http://www.2cto.com/Article/201205/131624.html

先扫描目标存在漏洞。扫出了好多XSS



随便找一个测试下，弹窗出来了，可以利用



把我们的利用代码转码，以免被浏览器安全策略过滤。



复制转码后的代码，和漏洞地址合一块，生成一个URL。



访问URL，自动跳转到我的服务器内攻击页面。



打开服务器目录，发现生成了cookie.txt



如果把URL发给管理员，得到的就是管理员的cookies了，再用火狐组件cookies manager+修改cookies就能得到网站权限。