[如何在文档中加入批注]如何在Visio文本
中加入上标、下标?
cookie阻止好还是不阻止好篇一: 如何在Visio文本中加入上标、下标?
原文地址:如何在Visio文本中加入上标、下标?作者:强行者选中要成为上标的文字,ctrl+shift+“=”
选中要成为下标的文字,ctrl+“=”
篇二: cookie注入&中转注入笔记
ASP脚本中,Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用”request”但它的效率低下,容易出错,当我们省略具体的集合
名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是”读取用户系统发送的所有cookie值,cookies是保存在客户端计算机的一
个文本文件,可以进行修改,这样一来,我们就可以使用kie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.
我们首先还是来看看中网景论坛的最新版本”中网景论坛2007v5.0 “官方下载地址”/websys2.asp?id=26”发布时间是2007-06-06,打开系统的源代码后,
在”user_RxMsg_detail.asp”文件中,有如下代码:
““ then Call IsNum
rs.open “select * from cnk_users_RxMsg where id=“&id,conn,1,3
我们再打开”opendb.asp”文件
..................
以现它是连接数据库的文件,其中调用了fzr.asp文件,我们再打开fzr.asp文件
““ Then 的数据进行判断,并没有指明对其它方式提交的数据进行判断)
';自定义需要过滤的字串,用”|” 分隔
Fy_In = “'|;|%|*|and|exec|insert|select|delete|update|count|chr|mid|master|trun cate|char|declare|script”
Fy_Inf = split
For Each Fy_Get In Request.QueryString
For Fy_Xh=0 To Ubound
If Instr),Fy_Inf)0 Then
zruserip=Request.ServerV ariables
If zruserip=““ Then zruserip=Request.ServerV ariables
Response.Write “内容含有非法字符!请不要有';或and或or等字符,请去掉这些字符再发!!
Response.Write “如是要攻击网站,系统记录了你的操作↓
Resp onse.Write “操作IP:”&zruserip&”
Response.Write “操作时间:”&Now&”
Response.Write “操作页面:”&Request.ServerV ariables&”
Response.Write “提交方式:GET
Response.Write “提交参数:”&Fy_Get&”
Response.Write “提交数据:”&Request.QueryString ......................
很明显的看出它是一个SQL通用防注入程序文件
代码看好了,我们来整理下思路:由于程序员的出错,导致了id没有被
过滤就被带到SQL语句中查询,这是注入漏洞产生的原因,虽然程序引入了防注入程序,阻止了常用的SQL语句使用,但只对客户采用GET 方
式提交的数据进行判断,而没有对其它方式提交的数据进行判断,这样导致了客户可以使用kie方式来提交变量的值,而绕过了SQL防注入程序”获取客户提交的数据,并对客户提交的变量没有过滤,而且在防注入程序中没有限制kie,现在防注入程序3.0只是对客户采用GET和POST提交方式进行了限制).
原理讲好了,下面我们来学学coolie注入语句吧
cookies的注入语句:javascript:alert and “));
举例:
例:
/view.asp?id=189
先访问xxxx/view.asp?id=189
接着在浏览器里输入:
javascript:alert)
再访问xxxx/view.asp
再输入:javascript:alert)
再访问:xxxx/view.asp
该页面出错就表示可以用Cookie注入。
=================================================== ====================
1:”alert”显示信息对话框的alert方法,它生成的是一个独立的小窗口,称作对话框,用来显示一条信息和一个按钮.
2:”kie”我们在处理cookie时,javascript将它保存为document对象的一个属性,其属性名称是cookie,利用这个属性,我们可以创建和读取cookie数据,在程序中可以使用:”alert
“调用当前页面的cookie数据项值.在我们启动浏览器打开页面后,如果存在相应的cookie,那么它被装入
到document对象的cookie属性中,kie属性采用name=value对应方式
保存各个cookie数据项值.document对象表示在浏览器里显示的HTML,cookie属性是允许读写HTTP的cookie;字符串类型
3:escape函数;它将字符串中所有的非字母字符转换为用字母数字表示的等价字符串,具有编码字符串的功能.一般情况下,cookie通常由服务器端的程序通过HTTP请求和响应头发送给浏览器,但是,利用javascript,可以在本地浏览器中设置cookie
格式:name=value的属性是指定cookie数据项的名称,value是该名称对应的值,它是一个字符串,也可是由一系列字符组成,name和value中不能包含分号,逗号及空白,有分号,逗号及空白,所
以我们要用到escape函数对他们进行编码
=================================================== ===================
上面整句的意思就是设置调用当前创建的cookie数据项值,在设置cookie时,它们首先保存在浏览器的内存中,退出浏览器时,才能被写入