asmx保存Session绕过密码验证登录系统

最新推荐文章于 2024-05-07 11:07:56 发布
最新推荐文章于 2024-05-07 11:07:56 发布
阅读量523 收藏
点赞数
分类专栏: C#语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21703215/article/details/106689829
版权

想要做个页面绕过密码验证登录系统,但是系统做了Session验证,在路由阶段就自动跳到Login.aspx页了,又不能对login.aspx做什么修改(指不定谁会无聊F12看代码看js),所以就想着使用asmx作为初始页面(因为asmx不会在路由阶段跳转)

使用asmx有一个问题,保存Session。
asmx直接保存会报:只有在配置文件或 Page 指令中将 enableSessionState 设置为 true 时,才能使用会话状态。还请确保在应用程序配置的 <system.web><httpModules> 节中包括 System.Web.SessionStateMod 或自定义会话状态模块。
更改配置文件是不可能的,这辈子都不会改配置文件的!

我们可以对方法添加 [WebMethod(EnableSession=true)] 修饰方法来保存

添加完之后发现还是不能用,这时可以实例化一个aspx页的类,然后添加Session
比如:
在这里插入图片描述

OALogin oal = new OALogin();
oal.Session["UserCode"] = uid;
oal.Session["UserName"] = arrUser[0]["UserName"].ToString();
oal.Session["LoginCode"] = arrUser[0]["LoginCode"].ToString();

最后跳转
System.Web.HttpContext.Current.Response.Redirect(“index.aspx”);

半块菠萝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绕过后台登陆页直接进入后台
weixin_34408624的博客
01-30 1378
一般在ADMIN的目录底下都有LOGIN.ASP 打开这个文件会发现有如下类似的代码 <% pwd = request.form("pwd") name = request.form("name") Set rs = Server.CreateObject("ADODB.Connection") sql = "select * from Manage_User wher...
php实现通过soap调用.Net的WebService asmx文件
10-20
ASMX是.NET Framework中用于创建Web服务的早期技术。下面我们将详细介绍PHP调用.NET ASMX WebService的步骤和关键知识点。 首先,确保PHP环境已经安装了必要的扩展。在调用SOAP服务时,需要启用`php_soap`、`...
安全校验Session验证码并避免绕开验证码攻击
10-28
校验验证码的Session是否为空或者校验用户输入的验证码是否合法,构造安全表单的关键就是永远不要相信用户的输入
asmx接口访问不到Session
nest9527的博客
02-22 971
问题一:    C#跨站点访问Session会有问题,只返回null值。这点不同java,java中session的生命周期是客户访问服务器时,产生Session,在客户端请求和服务器相应的过程中都可以获取到存储的Session,直到随着浏览器的关闭销毁。    C#中部署在不同站点的程序,例如A站点程序存入的Session,B站点无法访问,即跨站点无法访问Session。(可能有所误差,只是实际...
2024年网络安全最新ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11,网络安全开发入门与实战
最新发布
2401_84264610的博客
05-07 296
右键检查或者按F12, 进入开发者模式, 查看浏览器的session, 后端代码就是拿这个session的value值与我们输入的密码进行匹配, 由于这个value值我没解密出来, 所以这里干脆一点, 直接删除让变成空, 而后我们密码什么也不输, 也会是空, 空=空, 从而登录成功。页面中直接给了源码, 很明显是让我们进行代码审计, 源码中将我们输入的密码session保存密码进行匹配, 两个password相同即可登录成功。登录成功后即可返回flag。
验证绕过密码找回漏洞-案例
weixin_45634365的博客
03-15 279
验证码可以重复使用 验证码空值绕过 验证码干扰过低,轻松使用脚本识别 验证码会在HTML页面输出 验证码可控制 图片验证码,类型太少,容易识别 多次登录后才出现验证绕过-基于session 多次登录后才出现验证绕过-基于IP 验证码发送后由前端返回 验证码无次数限制可爆破 验证码可控 直接修改密码页面* 越权漏洞1 越权漏洞2 ...
Asp.net 如何跳过基于表单的身份验证(authentication)
qq_18932003的博客
01-06 544
asp.net webform aspx
ajax跨域请求WebService.asmx
08-22
【Ajax跨域请求WebService.asmx】是一个常见的Web开发技术应用场景,主要涉及到JavaScript的Ajax技术、C#编程语言以及ASP.NET的WebService组件。Ajax(Asynchronous JavaScript and XML)是一种在不刷新整个页面的...
java调用.net发布的webservice(asmx)
08-16
总结起来,Java调用.NET ASMX Web服务需要理解SOAP协议,掌握生成Java客户端代理类的方法,并处理可能出现的身份验证和错误问题。通过合理的编程实践和框架集成,可以实现高效、稳定的跨平台通信。在实际项目中,...
Java调用asmx(WebService)
12-12
### Java调用asmx(WebService)的关键知识点 #### 一、概述 在现代软件开发过程中,Web服务(WebService)作为一种重要的远程服务访问机制被广泛应用于不同系统间的交互。其中,ASMX是基于SOAP协议的一种WebService...
甩掉ashx和asmx使用jQuery.ajaxWebService请求WebMethod简练处理Ajax
10-21
主要介绍了甩掉ashx和asmx使用jQuery.ajaxWebService请求WebMethod简练处理Ajax的相关资料,需要的朋友可以参考下
java访问.net webservice获取与设置cookie
09-03
java访问.net webservice 可获取与设置cookie
ashx一般处理程序中的Session读写问题
热门推荐
itmaxin的专栏
11-13 1万+
关于解决一般处理程序中Session的读写问题。
在asp.net webservice中如何使用session
lvzenghui的专栏
05-06 490
在使用asp.net编写webservice时,默认情况下是不支持session的,但我们可以把WebMethod的EnableSession选项设为true来显式的打开它,请看以下例子:1 新建网站WebSite 2 新建web服务WebService.asmx,它具有以下两个方法:[WebMethod(EnableSession = true)]public string Logi
.net中WebService如何使用Session
xujianfei2851的专栏
12-18 428
WebService代码如下 public class UserInfoService : System.Web.Services.WebService {   [WebMethod(EnableSession = true)]   public bool login(string userName, string password)   {    if (Session["user
ctfshow-WEB-web11( 利用session绕过登录验证)
wangyuxiang946的博客
09-06 1万+
ctf.show WEB模块第11关用session保存密码进行登录验证, 将 session保存密码清空即可绕过 页面中直接给了源码, 很明显是让我们进行代码审计,源码中将我们输入的密码session保存密码进行匹配, 两个password相同即可登录成功 右键检查或者按F12, 进入开发者模式, 查看浏览器的session, 后端代码就是拿这个session的value值与我们输入的密码进行匹配, 由于这个value值我没解密出来, 所以这里干脆一点, 直...
session 身份绕过漏洞
weixin_45653478的博客
03-22 499
session 主要用于身份验证,登陆后的 session 保存在服务器,如果 session 存在网站目录,或者 session 存储于数据库,如果存在 sql 注入或者目录浏览等漏洞,得到这个用户登录后的 session,恶意用户得到这个 session 可以伪造进行登录
postman asmx
05-20
Postman可以用来测试和调试ASMX(Active Server Method Extension)服务。以下是使用Postman测试ASMX服务的步骤: 1. 打开Postman并创建一个新的请求。 2. 在请求的URL栏中输入ASMX服务的地址。 3. 在请求的Headers...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值