cookie 欺骗 与 cookie 注入

最新推荐文章于 2023-10-13 13:37:27 发布
最新推荐文章于 2023-10-13 13:37:27 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 安全 文章标签: cookies javascript web服务 ie sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sgear/article/details/4099678
版权

 

cookie 欺骗

 

网上有很多这样的文章。。。具体怎么操作就不详细说了。。。说下要注意的几个细节

 

 

cookie 欺骗的主要方法是拿到  管理员的  cookie。。。

 

在网上看到一种说法,就是注册了一个 用户,看了下cookie的格式。。然后把username改为管理员的用户名称,然后就可以是管理员了。。

 

感觉这种情况估计cookie里存的是 用户名和权限两项  。这样感觉还可以。。

 

 

如果页面在没次提取cookie 的内容的时候都去验证下用户名与密码 。。。那光改用户名是没用的。。

 

 

 

cookie 注入

 

和sql 注入是一个道理。。。只不过利用管理员对  cookie 过滤的疏忽。因为毕竟现在 页面的输入 都过滤的比较严格

 

 

请先看下面的的连接(示例用,所以连接不是真的)
http://*****.2008.***.com/1.asp?id=88


如果我们只输 http://*****.2008.***.com/1.asp

时,就不能看到正常的数据,因为没有参数!
我们想知道有没有Cookies问题(也就是有没有Request("XXX")格式问题),
先用IE输入
http://*****.2008.***.com/1.asp
加载网页,显示不正常(没有输参数的原因)
之后在IE输入框再输入
javascript:alert(document.cookie="id="+escape("88"));
按回车,你会看到弹出一个对话框 内容是: id=88
之后,你刷新一个网页,如果正常显示,表示是用
Request("ID") 这样的格式收集数据~~~~,这种格式就可以试Cookies注入了

在输入框中输入
javascript:alert(document.cookie="id="+escape("88 and 2=2"));
刷新页面,如果显示正常,可以再试下一步(如果不正常,就有可能也有过滤了)

javascript:alert(document.cookie="id="+escape("88 and 3=2"));刷新一下页面
如果不正常显示,这就表示有注入了~~~

如果程序员是用
Request.QueryString

Request.Form
收集数据的话,是无法利用Cookies绕过防注入系统进行注入的,因为服务程序是直截从GET或POST中读取数据的,Cookies是否有数据,WEB服务器是不理的,所以就无法利用了!~

感觉有时候这方法很可行。。

 

 

 

 

一直学习
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
马哥cookie强力注入工具
10-19
利用Cookie欺骗攻击网站,用“ Cookie强力注入修改工具”向该站服务器提交管理员Cookie,这样即可冒充管理员绕过密码验证登入后台,然后再通过后台的上传功能上传木马拿下 Webshell
cookie攻击
11-29
cookie注入攻击,很详细,包括COOKIE格式,Cookie欺骗原理,利用JavaScript来设置cookie
cookie注入原理详解
weixin_50464560的博客
07-16 6464
那我们还是围绕以下几个问题来看看cookie注入: 1.什么是cookie注入? 2.为什么要cookie注入? 3.怎样cookie注入? 1.什么是cookie注入?   ♦cookie注入的原理是:就要修改cookie的值,   ♦cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post...
cookie注入
LSYZWF的博客
05-20 1670
文章目录cooike注入cooike注入原理:cooike注入形成条件:cooike注入阶段:设置cooikeSQL-lab实战(less-21)参考文档参考文档 cooike注入 cooike注入原理: 修改cooike的值,使注入的值能够在拼接数据库查询语句从而获得信息,基本上与SQL注入中的get方式提交和post表单方式提交无区别。 cooike注入形成条件: 1、程序对get和post方式提交的数据进行了过滤,但未对cookie提交的数据库进行过滤。 2、在条件1的基础上还需要程序对提交数据获取方
【SQL注入cookie注入:原理、步骤、示例
07-08 4286
【SQL-cookie注入
cookie注入解析
vivlol918的博客
06-12 501
Cookie注入原理是利用Web应用程序中在客户端保存用户身份验证信息的Cookie来实现攻击的一种方法。攻击者通过篡改Cookie的值来实现伪造用户身份、注入有害代码、窃取用户数据和会话劫持等攻击行为。
cookie 注入
白菜执笔人的博客
03-01 523
Web安全攻防 学习笔记 一、cookie 注入 1.1、HTTP 头中的注入介绍         服务器可以利用 cookies 包含信息的任意性来筛选并经常性维护这些信息,以判断在 HTTP 传 输中的状态。cookies 最经典的应用就是判断用户是否已经登录网站。 1.2、cookie 注入 代码中使用 Cookie 传递参数,但是没有对 Coo...
利用Cookie攻击
12-03
cookie欺骗cookie注入 Cookie文件名称格式 设置cookie脚本
可以修改Cookies和注入的浏览器
08-12
可以修改cookis的浏览器软件,可以修改cookis欺骗,用这种方法可以入侵很多网站,本人一直在用,软件原名:Cookies&Inject Browser
Cookies 欺骗漏洞的防范方法(vbs+js 实现)
01-02
如果大家发现了代码中的任何问题,欢迎拍砖~本人皮厚~ 一、攻击原理 Cookies 欺骗主要利用当前网络上一些用户管理系统将用户登录信息储存在 Cookies 中这一不安全的做法进行攻击,其攻击方法相对于 SQL 注入漏洞等...
SQL注入cookie注入攻击
coderge's CSDN Blog.
09-19 1655
目录 1 cookie注入代码分析 2 实验过程 1 cookie注入代码分析 通过$_COOKIE能获取浏览器cookie中的数据,在cookie注 入页面中程序通过$_COOKIE获取参数ID,然后直接将ID拼接到select语句中进行查询,如果有结果,则将结果输出到页面,代码如下所示。 <?php $id = $_COOKIE['id']; $value = "1"; setcookie("id",$value); $con=mysqli_connect("local
SQL注入——cookie注入
weixin_74991270的博客
10-10 457
工具很方面,但是IP老是被ban手工虽说很麻烦,但是还是有惊喜的多挖挖src增加实战经验。
【SQL注入10】cookie注入基础及实践(基于BurpSuite工具和Sqli-labs-less20靶机平台)
Fighting_hawk的博客
02-21 3660
1. 了解get、post注入cookie注入的区别。 2. 掌握cookie注入的方法。
COOKIE注入
热门推荐
selecthch的博客
06-22 1万+
一、简介 Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 Cookie注入简单来说就是利用Cookie而发起的注入攻击。从本质上来讲,Cookie注入与传统的SQL注入并无不同,两者都是针对数据库的注入...
34. 注入篇——Cookie注入
Fly_鹏程万里
03-05 3043
Cookie注入原理(1)数据读取流程:对于WEB服务器而言,读取数据的流程是先取GET中的数据,如果GET中没有数据信息,那么再取POST中的数据,如果POST中也没有那么就会去取COOKIE中的数据(2)防注入系统的常例:系统一般只会对GET、POST中的数据进行检测,如果有特殊的字符就禁止数据的提交,但是很少检测COOKIE中的数据信息。(3)ASP中的request对象:Request对象...
SQL注入之路之八:Cookie注入
weixin_62715196的博客
08-14 191
文章主要讲述Cookie注入的一次实操过程
(手工)【sqli-labs20】cookie注入:原理、利用过程
07-10 913
【SQL-cookie注入
渗透测试---手把手教你SQL注入(5)---Cookie注入,宽字节注入与堆叠注入
最新发布
weixin_52796034的博客
10-13 403
在SQL注入中,尤其是使用ASP的网站中,Cookie注入是一种常见的攻击方式。Cookie是Web应用程序在客户端计算机上存储的小型数据片段,用于跟踪用户会话状态和存储其他个性化信息。有时我们可以通过在Cookie注入恶意代码来绕过一些安全措施,并执行恶意的SQL查询。
怎样利用XSS跨站攻击对Cookie验证进行欺骗
06-05
利用XSS跨站攻击进行Cookie欺骗的一般步骤如下: 1. 攻击者构造出一个恶意的网页(或者是通过某些手段注入恶意代码到合法网页中)。 2. 当用户访问这个恶意网页时,恶意代码会向攻击者的服务器发送一个HTTP请求,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一直学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值