Cookies 是 Server 发送给 Client（Brower）的少量信息，这些信息存放在 Client 本地，跟某个特定用户相关。在高级 Web 应用中，Cookies 被用来存放用户相关数据，比如用户的色彩主题配置、之前的活动记录、会话认证信息。

这篇文章，我们将讨论如何使用工具查看 Cookies 的值，如何存储和修改 Cookies。

实施步骤

首先，打开我们的漏洞靶机：Vulnerable_VM 【配置参见：测试环境搭建】

然后打开火狐浏览器，访问靶机的 Web 服务：
http://192.168.150.143/WackoPicko/

这里我们会用到之前安装的 Cookies Manager+ 插件，启动该插件，如下图所示：

Cookies Manager+

在 Cookies Manager+ 中，我们看到了所有页面的 Cookies 信息，并可以修改或删除指定 Cookies，也可以添加新的 Cookies。选中 PHPSESSID 并点击编辑，如下图，修改 HTTP Only 的值为 Yes，点击保存。

编辑 Cookies

我们在上图中修改的参数，告知浏览器，Cookies 的内容不允许被客户端的脚本访问。

由于一些应用依赖于存储在Cookies里的值，攻击者可以通过修改Cookies来添加恶意的假数据来获取更高的权限。在现在的应用中，会话Cookies通常只在登陆完成后用来存储用户的认证的信息。这样我们就可以通过抓取一个活动的会话Cookies，然后通过修改本地Cookies模拟这个有效的会话。