大家好,又见面了,我是你们的朋友全栈君。
在这之前,不管是做测试还是挖漏洞总会遇到这种问题
做测试的时候测试项里面有一个会话标识未更新,这种漏洞说白了就是在退出个人账户的时候没有及时的清除cookie,从而让别人利用你的cookie再次登录你的账户,然后测试的时候客户就让测试如何使用cookie登录
在挖漏洞的时候一般xss都需要打cookie然后伪造别人的身份登录,其实也是使用打到的cookie登录
在这之前我没深入的理解这块,现在总结总结。其实这操作真的很鸡肋,没多少的操作难度。
我们做测试的都知道cookie有时候只是一个参数 只代表一个字段,而有时候的cookie那就复杂了很多的参数
这里我们先来说一下单个参数的cookie登录吧,其实大同小异了
首先不管是测试还是xss打到的cookie我们先用123456代替
然后我们使用谷歌的可以装个插件叫做EditthisCookie
我们可以把打到的cookie放入替换值那个地方 然后点击下方的对号即可登录
是不是很简单 习惯使用火狐的可以下载一个插件就做Cookie-Editor
姿势也是大致相同
但是如果cookie的参数很多的话我们就要一个一个进行添加了
比如这种cookie
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/126903.html原文链接:https://javaforall.net
