韩国大尺度床戏激情戏裸戏电影_麻豆免费播放_激情引诱h文_久久www视频

Cookie注入是怎樣產生的(轉自老康BLOG)

[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!

Cookie注入是怎樣產生的
現在很多網站都加了防注入系統代碼,你輸入注入語句將無法注入~~感覺這樣的防注入系統不錯,但防注入系統沒有注意到 Cookies 的問題!所以就有了Cookies注入~~

我們來研究一下怎樣情況下才會有Cookies注入!如果你學過ASP你應該會知道
Request.QueryString (GET)

Request.Form (POST)!
呵,沒錯,這就是我們用于讀取用戶發給WEB服務器的指定鍵中的值!我們有時為了簡化代碼,會寫成
ID=Request("ID")

這樣寫法是簡單了,但問題就來了~~~我們先看WEB服務是怎樣讀取數據的,他是先取GET中的數據,沒有再取POST中的數據,還會去取Cookies中的數據(暈,書上沒有這么說,這是和小高交流時才知道~~看來書說的不全~~)

我們再看看防注入系統,他會檢測GET和POST中的數據,如果有特殊字符(這里當然是注入字符了)!就禁止數據的提交! 但他沒有檢測Cookies的數據!問題就來了~~~那我們怎樣測試是否有Cookies注入問題~請先看下面的的連接(示例用,所以連接不是真的)
http://www.xxx.com/1.asp?id=123

如果我們只輸
http://www.xxx.com/1.asp

時,就不能看到正常的數據,因為沒有參數!我們想知道有沒有Cookies問題(也就是有沒有
Request("XXX")
格式問題),先用IE輸入
http://www.xxx.com/1.asp

加載網頁,顯示不正常(沒有輸參數的原因)之后在IE輸入框再輸入
javascript:alert(document.cookie="id="+escape("123"));

按回車,你會看到彈出一個對話框 內容是: id=123 之后,你刷新一個網頁,如果正常顯示,表示是用
Request("ID")
這樣的格式收集數據~~~~,這種格式就可以試Cookies注入了在輸入框中輸入
javascript:alert(document.cookie="id="+escape("123 and 3=3"));

刷新頁面,如果顯示正常,可以再試下一步(如果不正常,就有可能也有過濾了)
javascript:alert(document.cookie="id="+escape("123 and 3=4"));
刷新一下頁面,如果不正常顯示,這就表示有注入了~~~如果程序員是用
Request.QueryString


Request.Form

收集數據的話,是沒有Cookies注入問題的,因為服務程序是直截從GET或POST中讀取數據的,Cookies是否有數據,WEB服務器是不理的,所以是不能利用Cookies注入的!~
--------------------------------------------------------------------------
為了方便不懂的朋友了解
javascript:alert(document.cookie="id="+escape("123"));
的意思,我說明一下
document.cookie="id="+escape("123")
就是把 123 保存到Cookies 的 ID 中
alert(xxx)
就是彈對話框

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責聲明,若由于商用引起版權糾紛,一切責任均由使用者承擔。

您必須遵守我們的協議,如您下載該資源,行為將被視為對《免責聲明》全部內容的認可->聯系老梁投訴資源
LaoLiang.Net部分資源來自互聯網收集,僅供用于學習和交流,請勿用于商業用途。如有侵權、不妥之處,請聯系站長并出示版權證明以便刪除。 敬請諒解! 侵權刪帖/違法舉報/投稿等事物聯系郵箱:service@laoliang.net
意在交流學習,歡迎贊賞評論,如有謬誤,請聯系指正;轉載請注明出處: » Cookie注入是怎樣產生的(轉自老康BLOG)

發表回復

本站承接,網站推廣(SEM,SEO);軟件安裝與調試;服務器或網絡推薦及配置;APP開發與維護;網站開發修改及維護; 各財務軟件安裝調試及注冊服務(金蝶,用友,管家婆,速達,星宇等);同時也有客戶管理系統,人力資源,超市POS,醫藥管理等;

立即查看 了解詳情