也是从大佬那边学到的一个小技巧,不是什么骚套路,知者自知,不知者自取~~
首先假设我们通过XSS或者前端某骚姿势拿到某人的cookie【必须是完整cookie,因为cookie不完整也时候不能成功登录该用户的】
这边cookie是PHPSESSID=8342p4stjcn3ebfbsin5kuaae0【因为这个cookie较为简单,有些cookie里面附带了很多内容,有时候包括了用户id,身份id等等其他信息,甚至有些app还包括了deviceId】
【假设是我们打到的,自我安慰】
直接访问后台页面无效然后我们用另外一个浏览器【因为不同浏览器会保存不同带的cookie,所以利用不同的浏览器也可以测试很多功能,类似越权,逻辑漏洞等等】,此时F12,在console输入
在访问后台页面
可以访问后台