xss如何cookie利用怎么确定它是管理的？

蓝颜

删除都不会！！！！！！                  

热心网友6

拿到 XSS 数据之后，发现只是一串 Cookie 而不是明文账号密码，这很正常。XSS 偷到的通常是用户的 Session Cookie，相当于“临时通行证”，拿着它就能冒充对方身份访问网站，而不用知道真正的账号密码。 你这个 Cookie 里包含了 `ASPSESSIONIDCACSACCD`，这就是会话 ID。另外还看到 `toplocation` 和 `location` 都指向后台管理页面 `manage.asp` 和 `checkadm.asp`——这说明被偷 Cookie 的用户当时正在操作后台，很可能是管理员。 要确认它是不是管理员的，你可以： 1. 用浏览器插件（比如 EditThisCookie）替换掉你自己网站的 Cookie，换上这个值。 2. 访问 ` 3. 如果页面直接报错或跳回登录，那可能过期了（看 `cck_lasttime` 是 2016 年的，也可能早失效了）。 另外注意这个 Cookie 还有 `CNZZDATA671833` 之类的统计参数，不需要管它，只替换 `ASPSESSIONIDCACSACCD` 就行。如果站点对 IP 或 User-Agent 做了校验，你可能还需要把 REMOTE_ADDR 和 User-Agent 也模拟成原来的。 总的来说，拿到的就是管理员的“登录状态”，直接利用这个 Cookie 就能操作后台，比账号密码更