坑爹的cookie与HTTP_REFERER判断

稿件来源: 阳光企业网站管理系统   撰稿作者: 太阳光   发表日期: 2012-3-12   阅读次数: 100   查看权限: 游客查看

来源判断与cookie验证码,原来是坑爹的

cookie具体是什么请查阅相关资料,常用于验证码。但很坑爹的:

<%@LANGUAGE="VBSCRIPT" CODEPAGE="65001"%>
<%
Option Explicit
Response.CodePage=65001
Response.Charset="UTF-8"

Dim server_v1,server_v2
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
Response.write "来源:"&server_v1&" 本站:"&server_v2&"<br/>"

If Mid(server_v1,8,Len(server_v2))<>server_v2 Then
	Response.write "禁止远程提交数据!<br/>"
Else
	Response.write "成功欺骗来源<br/>"
End If

Dim s_cookie
s_cookie=Request.Querystring("cookie")
If Request.Cookies("scs")=s_cookie then
	Response.write "cookie="&s_cookie&" 验证成功!"
Else
	Response.write "cookie="&s_cookie&" 验证失败!"
End If
%>
以上是我们常见的来源判断与cookie验证,感觉上已经很安全了,双层过滤哦。但却是双层坑爹:
<?php
$server = "web.scscms.com";
$host   = "web.scscms.com";
$target = "/index.asp?cookie=1234";     //请示网页地址
$referer= "http://web.scscms.com/";    // 伪装来源
$port   = 80;
$cookie ="scs=1234";  //伪装cookie
$fp = fsockopen($server, $port, $errno, $errstr, 30);
if (!$fp){
   echo "$errstr ($errno)<br />\n";
}else{
        $out = "GET $target HTTP/1.1\r\n";
        $out .= "Host: $host\r\n";
        $out .= "Cookie: $cookie\r\n";
        $out .= "Referer: $referer\r\n";
        $out .= "Connection: Close\r\n\r\n";
        fwrite($fp, $out);
        while (!feof($fp)) 
        {
               echo fgets($fp, 128);
        }
        fclose($fp);
}
?>

关键词: cookie,验证码,referer   编辑时间: 2012-3-12

  • 感到高兴

    1

    高兴
  • 感到支持

    0

    支持
  • 感到搞笑

    0

    搞笑
  • 感到不解

    0

    不解
  • 感到谎言

    0

    谎言
  • 感到枪稿

    0

    枪稿
  • 感到震惊

    0

    震惊
  • 感到无奈

    0

    无奈
  • 感到无聊

    0

    无聊
  • 感到反对

    0

    反对
  • 感到愤怒

    0

    愤怒
66.67%(2)
33.33%(1)
共有1 条评论 发言请遵守【相关规定

网友评论

会员头像
发 表同步腾讯微博  匿名评论  验证码:  点击更新
  • 【游客】受益匪浅,顶起! [2013-9-11 10:34:59]
关闭模块文章图片 article Pictrue
  • 代码覆盖率工具 Istanbul 入门教程
  • 全栈工程师的武器——MEAN
  • 9款超炫的 CSS3 复选框(Checkbox)
  • 微信开发在线翻译功能
  • CSS3那些不为人知的高级属性
  • 给easyui的datebox添加清空事件
  • flash写字效果
  • kendoUI系列教程之DropDownList下拉菜单
  • kendoUI系列教程之datetimepicker日期时间选择
  • kendoUI系列教程之datepicker日期选择
  • kendoUI系列教程之combobox下拉列表框
  • kendoUI系列教程之colorpicker
  • kendoUI系列教程之calendar日历表
  • kendoUI系列教程之autocomplete自动补齐
  • kendo ui简介
  • QQ登录网站实战教程