(凭据)cookie盗取:身份验证(会话)session(令牌)jwt等身份验证技术没有效果工具项目:xss平台beef-xss代码项目:必须在管理员登录过后台并且处于登录的有效期间内出发跨站才能盗取cookie伪造身份登录后台漏洞原理：接受输入数据，输出显示数据后解析执行基础类型：反射(非持续)，