81,092
社区成员
发帖
与我相关
我的任务
分享高分请教高手有关显示URL的问题,如能解决,可再贴分
高分请教高手有关显示URL的问题,如能解决,可再贴分
我在使用GOOGLE网时,IE浏览器中的地址栏会显示出URL:
http://www.google.com/search?q=K&ie=UTF-8&oe=UTF-8&hl=zh-CN&lr=
所有参数都在上面URL中,如我输入的查询为“K”,就可在里面看到。
而有些查询网站的URL会隐藏查询参数,请问用什么办法能得到这些隐藏的参数?
我在使用GOOGLE网时,IE浏览器中的地址栏会显示出URL:
http://www.google.com/search?q=K&ie=UTF-8&oe=UTF-8&hl=zh-CN&lr=
所有参数都在上面URL中,如我输入的查询为“K”,就可在里面看到。
而有些查询网站的URL会隐藏查询参数,请问用什么办法能得到这些隐藏的参数?
...全文
请发表友善的回复…
发表回复
Eraserpro 2003-10-20
- 打赏
- 举报
或者是,GET方法最好好像只能传送给URL一起的255个字符,有没有超过?
还有,服务端是否有GET,POST的方法检测语句?
还有,服务端是否有GET,POST的方法检测语句?
starfeng 2003-10-20
- 打赏
- 举报
quygb.asp这个网页报错,可能的原因是,它所需要的参数不完整。
你用上面的方法获和最要传的参数,可是,quygb.asp是不是还需要一些来自于其它页面的参数呢。
你用上面的方法获和最要传的参数,可是,quygb.asp是不是还需要一些来自于其它页面的参数呢。
张游 2003-10-20
- 打赏
- 举报
up
张游 2003-10-19
- 打赏
- 举报
我表达错了,其实我按以前你的方法执行过后,URL地址栏里以显示出我需要的提交的信息了,只不过页面显示出如下错误
Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005'
[Microsoft][ODBC driver for Oracle]常见错误
/cgi-bin/catlog/quygb.asp,行298
Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005'
[Microsoft][ODBC driver for Oracle]常见错误
/cgi-bin/catlog/quygb.asp,行298
Eraserpro 2003-10-18
- 打赏
- 举报
按理说是不会的,或许是那个网站本身的问题
那你就自己建一个空白的如a.jsp文件,把action=中的内容改成a.jsp就可以在提交后(找不到服务器)在IE地址栏中看到你提交的信息了。(不要忘掉把method="post"去掉)
那你就自己建一个空白的如a.jsp文件,把action=中的内容改成a.jsp就可以在提交后(找不到服务器)在IE地址栏中看到你提交的信息了。(不要忘掉把method="post"去掉)
张游 2003-10-18
- 打赏
- 举报
谢谢Eraserpro如此仔细的教我,你讲的正是我想要的,在5460.NET网试过成功了,多谢
但我想要用的那个网站不行,按你的操作过后会显示:
Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005'
[Microsoft][ODBC driver for Oracle]常见错误
/cgi-bin/catlog/quygb.asp,行298
这是什么原因啊?
但我想要用的那个网站不行,按你的操作过后会显示:
Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005'
[Microsoft][ODBC driver for Oracle]常见错误
/cgi-bin/catlog/quygb.asp,行298
这是什么原因啊?
张游 2003-10-17
- 打赏
- 举报
up
etre 2003-10-17
- 打赏
- 举报
有https传送吧
Eraserpro 2003-10-17
- 打赏
- 举报
先打开登陆页面,选“查看”中的“源文件”,把这个文件保存成比如a.html文件,然后打开这个文件,查找action=,实际上就是你上面所说的“http://www.5460.net/gy5460/jsp/login/loginMain.jsp”中的loginMain.jsp的路径,把它随便改成如a.html之类的东东(改成提交到自己方便查看)。然后记得把method=post去掉。
然后在IE中打开保存后的HTML文件,输入用户名,密码,点提交。
OK,你会在IE地址栏上看到一个URL,那"?"号后面的就是你提交的内容,
打个比方loginMain.jsp?user=aaa&passwd=bbb意思就是说你提交了两个参数user,passwd,值分别为aaa,bbb
说了一堆,都不知道是不是你想知道的东西!
然后在IE中打开保存后的HTML文件,输入用户名,密码,点提交。
OK,你会在IE地址栏上看到一个URL,那"?"号后面的就是你提交的内容,
打个比方loginMain.jsp?user=aaa&passwd=bbb意思就是说你提交了两个参数user,passwd,值分别为aaa,bbb
说了一堆,都不知道是不是你想知道的东西!
WalkSing 2003-10-17
- 打赏
- 举报
1) session
2) 数组
2) 数组
张游 2003-10-17
- 打赏
- 举报
up
张游 2003-10-16
- 打赏
- 举报
Eraserpro,如何保存,如何修改?能具体些吗?谢谢
比如我上一网,url显示的是http://www.5460.net/gy5460/jsp/login/loginMain.jsp,后面如何操作?(我很笨,谢谢您的指点:-)
比如我上一网,url显示的是http://www.5460.net/gy5460/jsp/login/loginMain.jsp,后面如何操作?(我很笨,谢谢您的指点:-)
Eraserpro 2003-10-16
- 打赏
- 举报
这太简单了吧,把那个网页保存下来,然后手动修改method="post"改成"get",然后再打开提交试试!!!
注意此时action="XXXXX"中要指向真实的网址
注意此时action="XXXXX"中要指向真实的网址
张游 2003-10-16
- 打赏
- 举报
POST方式把信息放于HTTP主体中通过HTTP传递,用抓包软件得到HTTP主体后,不就可以分析出数据了吗?
seaman0916 2003-10-16
- 打赏
- 举报
如果是通过Post传递的,好像就没办法了吧!
张游 2003-10-16
- 打赏
- 举报
【利用方式】
下面我们将通过具体例子来演示上面的各种危害,这样应该更能说明问题,而且更易于理解。为了条 理更清晰一些,我们将针对每种危害做一个实验。
为了做好这些实验,我们需要一个抓包软件,我使用的是Iris,当然你可以选择其它的软件,比如 NetXray什么的。至于具体的使用方法,请参考相关帮助或手册。
另外,需要明白的一点就是:只要服务器返回用户提交的信息,就可能存在跨站脚本执行漏洞。
好的,一切就绪,我们开始做实验!:)
实验一:获取其他用户Cookie中的敏感信息
我们以国内著名的同学录站点5460.net为例来说明一下,请按照下面的步骤进行:
1. 进入首页http://www.5460.net/
2. 输入用户名“<h1>”,提交,发现服务器返回信息中包含了用户提交的“<h1>”。
3. 分析抓包数据,得到实际请求:
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
(上面的文字是从网上摘的,我可不是想搞什么破坏噢)
我刚在网上试了,URL是http://www.5460.net/gy5460/jsp/login/loginMain.jsp,只有通过什么抓包软件才能得到如下类型的“真实URL”
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
他是怎么得到的呢?
下面我们将通过具体例子来演示上面的各种危害,这样应该更能说明问题,而且更易于理解。为了条 理更清晰一些,我们将针对每种危害做一个实验。
为了做好这些实验,我们需要一个抓包软件,我使用的是Iris,当然你可以选择其它的软件,比如 NetXray什么的。至于具体的使用方法,请参考相关帮助或手册。
另外,需要明白的一点就是:只要服务器返回用户提交的信息,就可能存在跨站脚本执行漏洞。
好的,一切就绪,我们开始做实验!:)
实验一:获取其他用户Cookie中的敏感信息
我们以国内著名的同学录站点5460.net为例来说明一下,请按照下面的步骤进行:
1. 进入首页http://www.5460.net/
2. 输入用户名“<h1>”,提交,发现服务器返回信息中包含了用户提交的“<h1>”。
3. 分析抓包数据,得到实际请求:
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
(上面的文字是从网上摘的,我可不是想搞什么破坏噢)
我刚在网上试了,URL是http://www.5460.net/gy5460/jsp/login/loginMain.jsp,只有通过什么抓包软件才能得到如下类型的“真实URL”
http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
他是怎么得到的呢?
张游 2003-10-16
- 打赏
- 举报
各位高人,我想得到一查询网站查询过程url中的真实提交数据,如果此网站的表单不是用get方法提交的,而是用post提交的,如何得到?
如果别人的网站用Post方法提交查询,或者对Get方法提交的数据URLencode了一下,我能得到这个网站的真实URL吗?
如果别人的网站用Post方法提交查询,或者对Get方法提交的数据URLencode了一下,我能得到这个网站的真实URL吗?
CoolAbu 2003-10-16
- 打赏
- 举报
要么用Post方法提交查询,不要用Get方法,或者对Get方法提交的数据URLencode一下,这样别人就看不出了。
