WEB开发网
开发学院网络安全安全技术 巧用Cookies暗战商业对手网站 阅读

巧用Cookies暗战商业对手网站

 2008-12-23 13:45:42 来源:WEB开发网   
核心提示: 图2注入中转生成器此时虽然完成了入侵该网站最重要的一个环节,但是还必须在本地开启IIS服务,巧用Cookies暗战商业对手网站(3),搭建能够解析ASP语言的服务环境,这样才能够真正地获取自己想要的东西,就得到了网站的后台地址,接下来就准备登录管理员后台,点击控制面板中“添加/

巧用Cookies暗战商业对手网站

图2 注入中转生成器

此时虽然完成了入侵该网站最重要的一个环节,但是还必须在本地开启IIS服务,搭建能够解析ASP语言的服务环境,这样才能够真正地获取自己想要的东西。点击控制面板中“添加/删除 Windows组件”按钮,在弹出的“Windows 组件向导”中找到“Internet信息服务(IIS)”,在勾选添加安装后,黑客K将JmCook.asp这个文件复制到了IIS指定的wwwroot文件夹中。

然后打开《啊D注入工具》,将http://127.0.0.1/jmcook.asp?jmd cw=123这个网址复制进《啊D注入工具》的地址栏中,再一次扫描检测过后,网站后台的管理员用户名和密码此时全部浮出了水面(图3)。

巧用Cookies暗战商业对手网站

图3

管理员用户名和密码此时全部浮出了水面应对Cookies注入最简单的方法就是运用ASP中的Request函数时(主要是用来读取客户端浏览器的数据),不要直接就是ID=Request("ID"),最好改成Request.QueryString (GET)或Request.Form. (POST)。这样Request函数就不会读取Cookies了,也就不能被黑客利用了。

黑客K淡然一笑:“成功了,很简单嘛!”又定了定神,调出《啊D注入工具》扫描后台,大约不到3分钟时间,就得到了网站的后台地址。接下来就准备登录管理员后台,上传网页木马然后获取Webshell,找到敏感数据就只是时间问题了……

上一页  1 2 3 

Tags:Cookies 商业 对手

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接