上一文中提到XSS的分类，本文将演示如何通过XSS进行cookie劫持，并且伪装登录。再cookie劫持中，有三种身份，分别是服务器，普通用户以及攻击者。这里使用本机和两台台虚拟机完成这项工作。基本思路如图所示：首先，攻击者发现某个网站存在XSS漏洞，于是编写恶意代码。当用户访问带有恶意代码的网站时，会将通过恶意代码，将cookie发送给攻击者。当攻击者获取cookie后，便可以使用cook...

步骤概要：一、在虚拟机中安装ubuntu。二、安装PHP，Apache 和 MySQL三、一、在虚拟机中安装ubunutu这里使用Ubuntu 18.04.4 LTS， 下载链接。打开vmware，点击创建新的虚拟机，选择下载好的ubuntu iso文件，根据指示，配置硬盘空间，内存，安装虚拟机即可，唯一需要注意的是，安装过程中可能出现卡在retrieving file这个页面（需要下...

为了学习web安全，需要搭建一个用来攻击的靶机，OWASP，Open Web Application Security Project， 提供了许多用于学习安全学习的项目。这里使用The Broken Web Applications (BWA) Project， 提供一个虚拟机的克隆，包含了含有漏洞的网站，可以使用vmware workstation 打开。此项目的优点是，直接提供了虚拟机的克.