XSS 本质

大家可能经常听到注入点之类的的名称

或者是XSS（跨站漏洞）

那么你谷歌去查询会给你很多不知所云的东西，可能很专业，但是看起来很费劲

那么我今天就用一段很简短利于理解的话进行总结：

xss其实就是控制浏览器的javascript，可以通过这个漏洞来插入你自己定义想要执行的javascript

然后大家要知道javascript能够做什么，那么javascript能做的事情，就是你这个漏洞能做的事情

javascript能做什么这个可以自己去谷歌，咱们这里作为基础篇，我们只举例几个最常见的

首先javascript可以获取浏览器cookie，那么cookie是干啥的？

cookie就是你登陆某个网站后的唯一凭证，简单来说，如果有了cookie，就能直接上你账号了，连用户名和密码都不需要了，简单粗暴，效果喜人。

然后我们举个栗子：

某网站有个xss的漏洞，你凑巧知道了，那么你提交一个beef的hook.js。让管理员或者用户访问这个网站时，他的cookie会直接发到你的平台里，替换一下cookie，你就和他权限一样了

这就是跨站最常用的功能，盗取登陆信息

盲打后台神马的都是从这个上面引申出来的。