Xss跨站脚本攻击— 通过cookie伪造目标权限 桐镜作业！

通过题目得知，目标存在存储型xss漏洞，用户在某处输入恶意xss代码会被正常保存并解析。

到达目标站点位置，查看可以用户可以输入的地方，发现留言板可以留言。，进行测试：

在能输入的地方插入测试代码<script>alert(‘XSS’)</script>，提交留言后查看：

右键审查元素，发现主题部位我们输入的代码没有显示在界面上，其他地方都显示了代码，所以主题的位置输入的代码被认为是javascript代码执行了，而下面的内容被html标签添加了语义得到正常显示

下面想办法获取管理员cookie，使用xss平台，将以下代码插入到xss漏洞出现的位置：

提交后返回xss平台等待管理员查看留言，此段插入代码被执行，代码中链接的代码内容得到执行，可以获取管理员cookie：（成功看见flag）