今天,有人在群里炫耀某站的漏洞,可以免费获取VIP,好奇之下就去请教,结果对方舍不得说
继续提到的漏洞,对方只说是cookie漏洞,其他的问不出来了,只能自己研究,下面我把全部过程分享出来。
技术原理:我们平时浏览网站会遇到,输入密码后,下次进入网站可能不需要输入密码,直接就能进去。因为浏览器已经用cookie记住你的登录信息了,个别网站不严格,用户可以自己电脑的cookie,例如把自己的cookie信息改为付费会员,服务器就误认为你是付费会员了。
前年的时候我发了一个“手机改号之任意手机号码打电话”的帖子,这个梦见掉头发原理也比较简单,注册一些网站的时候要手机验证码,例如验证码有效期只有5分钟,验证码输错3次就失效。但是部分网站对验证码没有做,所以我们可以用软件批量输入,一些手机验证码都是4位数纯数字,一共能生成10000种组合,用软件最多半小时就能试出正确的验证码。
转载请保留出处:无极领域asp300,cookie漏洞利用过程,免费升级298元的会员
网友评论 ()条 查看