動網論壇深度整合之Cookies詳解

2021-04-13 06:26:31 字數 1943 閱讀 7598

動網論壇這個另無數asp開發者頭疼的傢伙,不要說它整個程式如何,如何難懂,相互關聯如何複雜,就單說它的cookies這一項就讓很多人摸不著邊際,在動網6.0之前的版本,有個漏洞就出在cookies上,別人可以利用cookies欺騙對動網進行攻擊,在之後的版本動**別加強了cookies的安全性,這一漏洞也就不存在了。

我們都知道要很好的對動網進行整合,就必須能夠在全站讀得cookies的值,要讀到它首先必須搞懂它的cookies設定方式,動網在每次使用者登入時都會更新資料庫dv_setup裡字段forum_cookiespath的值,這個值的取得的演算法在login.asp裡有,它是乙個相對路徑,然後獲取此站點路徑下的相應的cookies,如username,userclass,因此,你只有論壇的目錄下的**才能讀取客戶端論壇的cookies,如果要在其它的地方讀取,怎麼辦呢?

下面是動網login.asp 裡關於cookies 的設定演算法:

<%

'判斷更新cookies目錄

dim cookies_path_s,cookies_path_d,cookies_path

cookies_path_s=split(request.servervariables("path_info"),"/")

cookies_path_d=ubound(cookies_path_s)

cookies_path="/"

for i=1 to cookies_path_d-1

if not (cookies_path_s(i)="upload" or cookies_path_s(i)="admin") then cookies_path=cookies_path&cookies_path_s(i)&"/"

next

if dvbbs.cookiepath<>cookies_path then

cookies_path=replace(cookies_path,"'","")

dvbbs.execute("update dv_setup set forum_cookiespath='"&cookies_path&"'")

dim setupdata

dvbbs.cachedata(26,0)=cookies_path

dvbbs.name="setup"

dvbbs.value=dvbbs.cachedata

end if

%>

實現動網cookies全站通用並且退出也是全站通用:

必須修改三個檔案:

①開啟inc/dv_cl**ain.asp

尋找     response.cookies(forum_sn).path=cookiepath

應該共有1個

替換為:

response.cookies(forum_sn).path="/"

②     開啟login.asp

尋找     response.cookies(dvbbs.forum_sn).path=dvbbs.cookiepath

應該共有3個,其中乙個是:response.cookies(dvbbs.forum_sn).path     =     dvbbs.cookiepath(等號兩旁有空格)

替換為:

response.cookies(dvbbs.forum_sn).path="/"

③     開啟logout.asp

尋找     response.cookies(dvbbs.forum_sn).path=dvbbs.cookiepath     第26行

應該只有乙個

替換為:

response.cookies(dvbbs.forum_sn).path="/"

於是在任意目錄中構建頁面讀取皆為可能

呵呵,到了這裡

就可以呼叫了.... 

request.cookies(dvbbs.forum_sn)("username") 使用者名稱

密碼,id都可以全站通用了....

ASP 有關整合動網論壇的問題

響應者 1 最簡單的方法 把你 的使用者表並給動網 在動網寫入cookies的地方寫入session給你 用,在動網的login.asp 尾部.響應者 2 最簡單的方法是 當你開啟論壇的連線前,先自動登入一遍,如下 dim username,password username session use...

Access ,Oracle , 動網論壇v7 0

新人新氣象,流水一篇.最近應主管的要求,要把動網論壇放到內部網站上來,並且要把for access 改成 for oracle.我原來到是沒接觸過oracle,但是一想,無非就是修改一下sql而已,也沒甚麼太難得.結果一改,問題來了,oracle的中沒有自增id這個概念,只能用sequences 或...

SQL注入入侵動網SQL版論壇

現在動網最新版本是7.0 sp2。應該說安全性已經是很高的了。所以從指令碼本身的問題去突破它難 度不小。但是我們可以從外部的一些途徑間接 搞定 動網.現在iis asp sql2000的組合是比較常見的。而乙個 運用大量的asp指令碼程式,難免不出紕漏。如果一台主機上存在某個sql注入點,而這台主機...