現在很多網站都采用了通用防注入程序,那么對於這種網站,我門是否就束手無策了呢?答案是否定的,因為我們可以采用cookie 注入的方法,而很多通用防注入程序對這種注入方式都沒有防備。
在講之前,我們還是來回顧下ASP腳本中Request對象的知識吧,上面幾講中都提到Request對象獲取客戶端提交數據常用的是GET和POST二種方式,同時request對象可以不通過集合來獲得數據,即直接使用"request("name")"但它的效率低下,容易出錯,當我們省略具體的集合名稱時,ASP是按QueryString,from,cookie,servervariable,集合的順序來搜索的,在request對象成員中集合cookies,它的意思是"讀取用戶系統發送的所有cookie值,我們從第二講關於"cookies欺騙入侵和原理"中知道,cookies是保存在客戶端計算機的一個文本文件,可以進行修改,這樣一來,我們就可以使用Request。cookie方式來提交變量的值,從而利用系統的漏洞進行注入攻擊。
下載地址:cookie注入中轉工具.rar