xss?=客户端拒绝服务

Posted me记录

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了xss?=客户端拒绝服务相关的知识,希望对你有一定的参考价值。

反射型xss(httponly无法打到cookie)+会话固定=客户端拒绝服务


前提会话固定cookie里面seesionid不变


xss写一个cookie覆盖原有的sessionid


登录前xss设置document.cookie="JSESSIONID=1"


登陆前和登录后cookie


Cookie: JSESSIONID=mh1fhY1Lw6pCWJnJvrr3Xb1MB71hnsJ3cmZNyRhyv1sTXv127TyM!-1327639740


Cookie: JSESSIONID=1; userName=0; 

JSESSIONID=mh1fhY1Lw6pCWJnJvrr3Xb1MB71hnsJ3cmZNyRhyv1sTXv127TyM!-1327639740


有两个 JSESSIONID,识别第一个,自然登录识别,正确的用户名密码也无法登录



Session攻击手段(会话劫持/固定)及其安全防御措施

http://blog.csdn.net/h_mxc/article/details/50542038



以上是关于xss?=客户端拒绝服务的主要内容,如果未能解决你的问题,请参考以下文章

服务器已拒绝客户端凭据,WCF 作为 Windows 服务

SVN由于目标机器积极拒绝,无法连接

服务器已拒绝客户端凭据,双工wcf服务

错误日志:客户端被服务器配置拒绝

远程服务拒绝权限 onBind

Apache:客户端被服务器配置拒绝