怎么利用 xss 滲透測試

XSS在滲透測試中利用方法如下：

• 劫持Cookie盜取用戶憑證：cookie中一般加密保存了用戶的登錄憑證，瀏覽器發起的所有請求都會自動帶上，如果Cookie被盜取，也就是說用戶不用通過密碼而直接登錄你的賬戶；

• 構建Get和Post請求：如果cookie按照上述進行了設置，則無法直接劫持cookie來使用了，但是XSS可以在javascript中構建get或者post請求，來實現自己的攻擊；

• XSS釣魚：攻擊者可以將XSS和釣魚結合在一起，例如通過javascript代碼模擬出網站的登錄框，用戶輸入用戶名和密碼后，XSS將這些信息發送到服務器端，用來進行攻擊；

• 獲取用戶系統信息：此外XSS還可以識別用戶的瀏覽器信息、用戶安裝的軟件以及用戶真實的IP等信息；

• XSS Wrom：這是XSS的一種終極利用方式，破壞力和影響力是巨大的，一般來說，用戶直接發生交互行為的頁面，如果存在存儲型XSS，則比較容易發起Wrom攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。