网站防注入别忘了cookie注入.docxVIP

网站防注入别忘了 cookie 注入 经过几年的注入攻击的洗礼，现在即使一般小企业的 网站也做了防注入，但有一种注入叫 cookie 注入，由于它利 用了网站程序一般很少使用但确实可用的获取参数的方法， 很多网站程序的作者往往忽略了防范 cookie 注入，给网站的 安全带来极大危害。 下面我还是通过一个例子说明 cookie 注 入的危害。 我收藏了一款存在 cookie 注入漏洞的 ASP网站程序―宜昌电脑网络公司 v2.8 版，它存在的注入漏洞比较经典， 就用它来演示 cookie 注入漏洞了。 发现漏洞 我把宜昌电脑网络公司 v2.8 版在虚拟机里用 IIS 运行了起来，网站访问地址为 / ，如图 1。 在“常见故障”栏目中点开一篇名为“夏普复印机特殊故障代码的复位方法”的文章，在浏览器中显示的地址为 /news_more.asp?id=1093 ，如图 2。 在这个地址后面输入 -0，也就是浏览器中的地址变为了 /news_more.asp?id=1093-0 ，回车，显示的还 是“夏普复印机特殊故障代码的复位方法”这篇文章；在地 址 /news_more.asp?id=1093 后面输入 -1，也就是浏览器中的地址变为了 /news_more.asp?id=1093-1 ，回车，显示的文 章变为了“夏普 AR1818、 AR163、 AR163N、AR2818 垂直