版权声明:文章所有权归作者所有,转载请注明来源 https://blog.csdn.net/qq_18501087/article/details/84759499
在传销站发现了一个比较有意思的代码,他的后台登陆是有很大的问题,采用了cookie去判断用户是否登陆
首先,先来看一下它是如何判断登陆的
看到这个,我想,大家应该都明白是什么情况了
它先获取了cookie中‘denglu’中的字段,然后判断其中是否存在’userid‘,如果存在,就提示已经登陆,然后跳转到后台主页面
我们接着往下翻,翻到判断登陆的代码
我们只关注它在登陆成功的时候,做了什么事情
设置session的地方,我们直接忽略掉,session我们完全不可控,并且上面也说了它是通过cookie来判断登陆的,我们这里就主要关注一下对cookie值的设置,它设置了otype、userid、username、token四个值,这个token设置的更有意思了,这里大家看图,我就不发出来了,咱们都是文明人,不过话说,这个程序员是有多么恨要让他写项目的这个人
通过这段代码,我们完全可以构造出一个cookie的值来,通过构造的cookie值,然后使用火狐插件,添加cookie,刷新,进入后台
本文首发于圈子社区,为了赚rank,我决定要发奋写文章