这名小黑客的想法很简单,当用户登陆Hotmail时,系统将会生成一个cookie方便下次登陆。由于该cookie并未绑定IP,因此黑客可以假冒这些cookie并用于登陆,甚至不需要知道受害人的密码甚至email地址。通过XSS黑客可以插入一段javascript代码,利用log script将cookie发送到某个web服务器,脚本可以通过PHP,ASP,CGI等语言编写。
不过这种方法貌似对于登陆时选择保存hotmail密码的用户才有效吧……反正我是从来不保存密码的。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
