剑花江南

Session欺骗比较有局限性~~必须在目标主机给你分配一个Session~~~曾经用Session欺骗搞过洞网~~写过一个工具~本来是要发出来的~但是应用的局限性实在是太大了~
可能有CC不知道session和Cookies有什么区别，这么解释吧~(在某期黑客杂志上看见的)Cookies就像是成绩单，要你自己拿回家的，而Session就是学校的备案，你可以本地改你的成绩单但是改不了学校的备案。
Session是保存在服务器上的，如果你搞到了服务器上一个别的网站的shell，那么给你分配一个Session就很简单了，就好比你有教导处的钥匙，改成绩的话偷着进去改(打个比方，别学阿)
这个ewebeditor没有对session的内容进行检查，只是简单的判断了是否为空~当然就可以欺骗了，其实如果有服务器上的某站的shell的话，session欺骗就和cookies欺骗一样简单

帖子389 精华0 积分597 阅读权限50 性别男 来自大连 在线时间171 小时 注册时间2006-7-15 最后登录2008-4-15 查看个人网站
查看详细资料TOP 少女暴富的隐秘（图）

remax
晶莹剔透§烈日灼然