免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

介绍

盲打：完全黑盒测试，不知道哪些地方存在XSS，直接能插XSS的地方都插入试试)

cookie盗取：盗取用户浏览器cookie(凭据)
对session(会话)、jwt(令牌)等身份验证技术没有效果

如何盗取？

工具项目：XSS平台、beff-xss








管理员登录并查看日志