二十六：XSS跨站之订单及shell箱子反杀

寻找留言板，和数据库进行交互的面板

xss平台的使用  postman软件
WEBSHELL箱子管理系统   用beff反拿到订单管理系统的shell，进行社工，以及钓鱼各种操作。

kali开启beef，

跨站漏洞存在于管理员浏览数据，才能触发xss跨站。

XSS盲打：瞎几把打，只要存在一处就行。拿到cookie还得查看是否是cookie验证还是session验证

获取phpinfo界面里面的session id ，用xss平台拿网页源码。beef让用户访问phpinfo信息