实例讲解Cookies欺骗与session欺骗入侵

Response.Redirect "Admin_Index.asp" 很容易就知道如果没有获得验证就会出现两个session值：

session("AdminName")=rs("username") 试想如果我们以adminName的信息登陆就就ok了..接着用ASP木马编辑器来添加代码如下：

end if 分析上段代码，有个不定值--admin，可以根据实际情况来设置，不一定是admin；可以在一些不常去的页面来登陆，如：FriendSite.asp？hc=16返回时页面没有出现异样，这就行了，然后再次登陆manage/admin.asp,你会发现，你已经进入后台了。然后可以提权得弄服务器了。