動網論壇深度整合之Cookies詳解

動網論壇這個另無數asp開發者頭疼的傢伙，不要說它整個程式如何，如何難懂，相互關聯如何複雜，就單說它的cookies這一項就讓很多人摸不著邊際，在動網6.0之前的版本，有個漏洞就出在cookies上，別人可以利用cookies欺騙對動網進行攻擊，在之後的版本動**別加強了cookies的安全性，這一漏洞也就不存在了。

我們都知道要很好的對動網進行整合，就必須能夠在全站讀得cookies的值，要讀到它首先必須搞懂它的cookies設定方式，動網在每次使用者登入時都會更新資料庫dv_setup裡字段forum_cookiespath的值,這個值的取得的演算法在login.asp裡有,它是乙個相對路徑,然後獲取此站點路徑下的相應的cookies,如username,userclass,因此,你只有論壇的目錄下的**才能讀取客戶端論壇的cookies,如果要在其它的地方讀取,怎麼辦呢？

下面是動網login.asp 裡關於cookies 的設定演算法:

'判斷更新cookies目錄

dim cookies_path_s,cookies_path_d,cookies_path

cookies_path_s=split(request.servervariables("path_info"),"/")

cookies_path_d=ubound(cookies_path_s)

cookies_path="/"

for i=1 to cookies_path_d-1

if not (cookies_path_s(i)="upload" or cookies_path_s(i)="admin") then cookies_path=cookies_path&cookies_path_s(i)&"/"

if dvbbs.cookiepath<>cookies_path then

cookies_path=replace(cookies_path,"'","")

dvbbs.execute("update dv_setup set forum_cookiespath='"&cookies_path&"'")

dim setupdata

dvbbs.cachedata(26,0)=cookies_path

dvbbs.name="setup"

dvbbs.value=dvbbs.cachedata

end if

實現動網cookies全站通用並且退出也是全站通用：

必須修改三個檔案：

①開啟inc/dv_cl**ain.asp

尋找 response.cookies(forum_sn).path=cookiepath

應該共有1個

替換為：

response.cookies(forum_sn).path="/"

② 開啟login.asp

尋找 response.cookies(dvbbs.forum_sn).path=dvbbs.cookiepath

應該共有3個，其中乙個是：response.cookies(dvbbs.forum_sn).path = dvbbs.cookiepath（等號兩旁有空格）

替換為：

response.cookies(dvbbs.forum_sn).path="/"

③ 開啟logout.asp

尋找 response.cookies(dvbbs.forum_sn).path=dvbbs.cookiepath 第26行

應該只有乙個

替換為：

response.cookies(dvbbs.forum_sn).path="/"

於是在任意目錄中構建頁面讀取皆為可能

呵呵,到了這裡

就可以呼叫了....

request.cookies(dvbbs.forum_sn)("username") 使用者名稱

密碼,id都可以全站通用了....

動網論壇深度整合之Cookies詳解

ASP 有關整合動網論壇的問題

Access ,Oracle , 動網論壇v7 0

SQL注入入侵動網SQL版論壇

動網論壇深度整合之Cookies詳解

ASP 有關整合動網論壇的問題

Access ,Oracle , 動網論壇v7 0

SQL注入入侵動網SQL版論壇

相關推薦