服务器配置问题~~~~~~

小弟很菜..
但是我想说句公道点点的
  各位牛人.人家毕竟是个小兄弟..
才参加完中考...
对于脚本方面发现过几次漏洞  比如  oblog的4.0 4.5 的
我不知道各位说这个小兄弟的人在他这个年龄是否和他一样能有现在他的成就 ...
  session 在同目录下是可以进行欺骗的...
但是他毕竟发现了 session 可以注射并且发出来...
凭他敢发出来的这个精神 我想大家还是鼓励下比较好

其实被“牛人”骂骂也好，被骂了就知道生气，生气了才会晓得更加努力的学习与研究。

呵呵。支持一下，以前就有一次使用session欺骗的机会。结果当时连SESSION都不知道，结果现在已经没机会了~~
描述一下当时的情况，一个站上有2个EWEBEDITOR 其中一个（A）的登录页面已经被删除，而令一个(B)的还在但它的上传页面却被删除了。不知道这种情况在在B上面登录后在直接转到A的管理页面上面行不行呢？请各位牛人指点下。谢谢。~
LZ才中考哦，我都大二了。还没LZ了解的多。呵呵惭愧一下~~

回LS：也许这个真的能刺激学习的欲望呵呵~LZ必然有一个宽大的胸怀吧。~呵呵

引用:

引用第10楼lhn于2007-08-05 00:17发表的 :


楼主勇气可嘉，session的概念没有弄清大作就出来了．给你打个比方www.aa.com和www.bb.com在同一服务器上,都放了两个动网,如果按你的逻辑，两个动网的管理员可以互相进对方后台了．

session入库的话应当也可以注入（我没有测试过），但是不应当是你的这种方法去注入．

支持,有没有真到虚拟主机上试验成功的?

确实是可以,不过做起来难度也太大了.
一般session进库的程序很少,
再者除非跨站,而对我熟悉PHP来说基本不可能,s path是由php.ini指定的,sid是随机生成,除非拿到主机权限,否则伪造不了,
有一种可能是将用户名存在session里,然后进库.
任何一种SQL注入对php来说可能性太小,只要对全局变量的引用进行处理,以及为SQL使用的变量加上单引号,是不可能被注入的.

session注入的确是存在的在php下效果更明显
哈，希望大伙讨论技术的时候不要进行无聊且肆意的谩骂哦
大伙都是文明人啊

此文有可取之处，也有可鉴之处
何必恶意中伤他人？！

做学问应该大胆假设，小心求证，我们搞技术研究的也该如此，LZ把自己的发现公布出来，本来就有让大家一起研究下的意思，虽然有夸大事实的嫌疑。PS，我们这个论坛只是用于讨论，并不是什么学术报告发表机构，有必要这样恶意中伤吗？说实话，看到某些人的言论，我觉得齿冷，你有技术喜欢掖着就自己带进棺材去吧！！！

自己的成果。
自己拣果子。
如果只是讽刺他人。
那么你也要想想自己是否也做到他一样了。
LZ共享了。
是为了给大家讨论。
不是来争嘴的。
本人不财。
没多大能耐。
但最起码懂得分享和尊重。

刚开始是来看LZ的文章看思路学东西的.
看到后面难免有些气愤..
28楼:IP在美国的兄弟 见过白痴的，没见过这么白痴的。
30楼:脱裤子放屁,较爽？
有些人真是觉得自己很伟大.
说话带着人身攻击..那些牛人有本事的话去搞美国国防部喽.
何必在这里做什么人身攻击.邪八一直都有良好的讨论氛围.
可惜有些人的讨论好象超出了技术讨论的范围了.

末了.只想告诉那些在那里说别人哪哪白痴哪哪幻想的人.如果您不爱看.可以不看.
没有必要让大家发现你们存在.出来说一句攻击性的话体现您很有价值吗?

晕忽忽的 好久没上邪八了 一上来就闻到这么浓的火药味
LZ 也是一片热心 有点研究就拿出来给大家看看 先把对错放在一边
人家本来就是抱着学习的态度来到这里的 抨击也用不着这么过火

ps:cn的徒弟....肯定也比较淫荡

发现一旦吵起来帖子就肯定火，大家还是回到技术上吧，要和谐。。和谐。。。嘎嘎。

实在看不惯某些人的言论，唯一能作的就是浮出水面顶作者一个！
“没有不能干的事，只有不能干的人”（FZK大哥别～～～呵呵）。
好好加油呀，毕竟这么小，前途无限美好呀！！！