一区二区久久-一区二区三区www-一区二区三区久久-一区二区三区久久精品-麻豆国产一区二区在线观看-麻豆国产视频

Cookie 注入是怎樣產生的

2014-10-21 23:03:24 分類:JavaScript技術 閱讀()
我們來研究一下怎樣情況下才會有Cookies注入!如果你學過ASP你應該會知道
復制代碼 代碼如下:
Request.QueryString (GET)


復制代碼 代碼如下:
Request.Form (POST)

呵,沒錯,這就是我們用于讀取用戶發給WEB服務器的指定鍵中的值!我們有時為了簡化代碼,會寫成
復制代碼 代碼如下:
ID=Request("ID")

這樣寫法是簡單了,但問題就來了~~~我們先看WEB服務是怎樣讀取數據的,他是先取GET中的數據,沒有再取POST中的數據,還會去取Cookies中的數據(暈,書上沒有這么說,這是和小高交流時才知道~~看來書說的不全~~)

我們再看看防注入系統,他會檢測GET和POST中的數據,如果有特殊字符(這里當然是注入字符了)!就禁止數據的提交! 但他沒有檢測Cookies的數據!問題就來了~~~那我們怎樣測試是否有Cookies注入問題~請先看下面的的連接(示例用,所以連接不是真的)
http://www.xxx.com/1.ASP?id=123

如果我們只輸http://www.xxx.com/1.ASP時,就不能看到正常的數據,因為沒有參數!我們想知道有沒有Cookies問題(也就是有沒有Request("XXX") 格式問題),先用IE輸入http://www.xxx.com/1.ASP

加載網頁,顯示不正常(沒有輸參數的原因)之后在IE輸入框再輸入
Javascript:alert(document.cookie="id="+escape("123"));
按回車,你會看到彈出一個對話框 內容是: id=123 之后,你刷新一個網頁,如果正常顯示,表示是用
Request("ID")
這樣的格式收集數據~~~~,這種格式就可以試Cookies注入了在輸入框中輸入
Javascript:alert(document.cookie="id="+escape("123 and 3=3"));
刷新頁面,如果顯示正常,可以再試下一步(如果不正常,就有可能也有過濾了)
Javascript:alert(document.cookie="id="+escape("123 and 3=4"));
刷新一下頁面,如果不正常顯示,這就表示有注入了~~~如果程序員是用
Request.QueryString

Request.Form
收集數據的話,是沒有Cookies注入問題的,因為服務程序是直截從GET或POST中讀取數據的,Cookies是否有數據,WEB服務器是不理的,所以是不能利用Cookies注入的!~

JavaScript技術Cookie 注入是怎樣產生的,轉載需保留來源!

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

標簽:
主站蜘蛛池模板: 一区二区三区在线免费看 | 丁香六月在线视频 | 天天艹天天 | 高清一区二区三区 | 在线视频亚洲一区 | 美女扒开视频网站 | 狠狠综合欧美综合欧美色 | 亚洲 欧美 在线观看 | 精品日韩在线视频一区二区三区 | 91亚洲国产成人久久精品网址 | 免费精品一区二区三区在线观看 | 国产福利91精品 | 欧美一级特黄一片免费 | 色综合久久88一加勒比 | 九九国产 | 91网址免费入口 | 国内一级毛片 | 国产成人啪精品午夜在线播放 | 麻豆视频播放 | 91亚洲国产成人久久精品网站 | 欧美整片完整片视频在线 | 狠狠色伊人亚洲综合成人 | 福利一区二区在线观看 | 国产高级黄区18勿进一区二区 | 色哟哟在线影院 | 伊人色综合久久 | 一级做a爰片性色毛片黄书 一级做a爰片性色毛片男 | 久青草国产手机在线视频 | 日本www片| 婷婷丁香花麻豆 | 亚洲春色另类小说 | 久久久国产乱子伦精品 | 亚洲乱码一二三四区国产 | 亚洲免费黄色 | 久久99国产乱子伦精品免 | 欧美亚洲国产成人不卡 | 国产第一导航深夜福利 | 天天干在线影院 | 美女网站黄色 | 国产在线精品一区二区不卡 | 色婷婷色99国产综合精品 |