Web应用程序是通过2种方式来判断和跟踪不同用户的：CookIE或者Session(也叫做会话型Cookie)。其中Cookie是存储在本地计算机上的，过期时间很长，所以针对Cookie的攻击手段一般是盗取用户Cookie然后伪造Cookie冒充该用户;而Session由于其存在于服务端，随着会话的注销而失效(很快过期)，往往难于利用。所以一般来说Session认证较之Cookie认证安全。

　　当然啦，Session难于利用并不等于不能利用，本文将通过一个小小的例子实现一次简单的HTTP会话劫持。

　　还是以ASP为例，ASP程序是如何得到客户端Session的呢?通过抓包可以发现HTTP请求的Cookie字段有个ASPSESSIONIDXXXXXXXX(X是随机的字母)值，ASP程序就是通过这个值判断Session的。如果我们得到管理员的ASPSESSIONIDXXXXXXXX及其值，并在这次会话结束之前提交到服务器，那么我们的身份就是管理员啦!

　　那怎么得到Session呢?答案是跨站。因为JavaScript的document.cookie()方法会把Cookie读出来，当然也包括会话型Cookie。

　　如果你关注Web安全，相信你一定看到过记录跨站得到Cookie的脚本程序，我们也需要一个类似的程序，但功能不是记录，而是立即转发(因为当前会话随时可能由于管理员退出而失效)。这个程序可以用ASP、PHP、Perl甚至C来实现，我还是用ASP吧

　　要写这个程序，你还必须对要攻击的程序相当了解，因为你要提交各种请求。那现在先看看本例中被跨站的程序吧。

　　很荣幸，我选中了WebAdmin 1.4，嘿嘿，自己写的程序自己肯定最清楚哪里有漏洞啊。呵呵，简要介绍一下，WebAdmin是一个ASP.Net下的webshell，使用的Session认证方式，1.4版本的跨站存在于目录浏览的URL。

　　所以我就在src中构造这样的路径：“E: 。这段代码就是把当前cookie作为参数提交给www.0x54.org/test/cc.asp文件。

　　cc.asp文件内容如下：

　　该文件目的是获取管理员Session并利用WebAdmin的文件编辑功能查看222.210.115.125(被攻击的Web服务器，其实是我本机啦)的E:/MyWeb/webadmin.aspx文件内容并把内容保存到本地的a.txt文件中。数据的提交使用的是ServerXMLHTTP组件，它与XMLHTTP有相似之处，也有异同，具体的可以看看《ServerXMLHTTP vs XMLHTTP》。

　　准备就绪，先登陆WebAdmin然后再访问构造好的跨站URL，呵呵，然后去看http://www.***.org/test/a.txt

　　你也可以试试直接访问cc.asp，呵呵，生成的a.txt将是一个登陆界面的源文件。 

　　哈哈，现在热烈庆祝一下本次HTTP会话劫持测试胜利闭幕，总的来说实行一次这样的攻击难度还是很大的，不过话又说回来，在技术这块领域，除了Copy人家的代码，还有不需要努力就能做好的事情吗?

　　作者：木淼鑫

　　【赛迪网-IT技术报道】本周(2008.4.21-4.27)有一个病毒特别值得注意，它是：“VB木马点击器变种ZXY(Trojan.Clicker.Win32.VB.zxy)”病毒。该病毒伪装成IE浏览器图标，欺骗用户点击运行，在后台疯狂点击黑客指定的网址，这些网址大部分是广告和商业网站，黑客借此来获取大量利润。同时病毒会释放数十个盗号木马、病毒等，给用户带来很大的安全风险。

　　本周关注病毒：

　　VB木马点击器变种ZXY(Trojan.Clicker.Win32.VB.zxy) 警惕程度 ★★★

　　这是个VB语言编写的木马点击器。它会伪装成一个IE网页图标，欺骗用户点击运行。通过配置程序修改需要刷新IP流量的网页地址，并且在后台点击指定的网址，借以获取利益，此病毒带有明显的商业性质。由于病毒会在系统System32目录下释放多个不同的病毒程序，会给手动清除带来一定难度。

　　专家建议：

　　1、建立良好的安全习惯，不要轻易打开可疑的邮件以及通过QQ、MSN等传来的文件或网址。收到好友发来的文件或网址时，应先询问对方，确认后再打开；

　　2、不浏览不良网站，不随意下载安装可疑软件；

　　3、安装专业的杀毒软件升级到最新版本，并打开邮件和文件监控程序，防止病毒通过电子邮件、MSN及QQ等侵入您的计算机。

　　(责任编辑：李磊)

　　作者：木淼鑫

　　【赛迪网-IT技术报道】从2007年到现在，病毒、木马、恶意软件、垃圾邮件等等，开始越来越多的互相勾结，并且也逐渐确立了“利益”这一统一目标。

　　有了目标，做事也就更专注。现在木马已经不再漫无目的的大量散发蠕虫和病毒邮件，开始更有针对性的发起攻击。

　　英国国家底层安全中心(NISCC)在一份报告中声称：有超过300个政府部门和公司成为邮件病毒攻击的热门目标。

　　这些邮件似乎专门针对商业或经济部门，并收集敏感或有价值的信息，而不是到处蔓延，仅仅为了自我炫耀。这些攻击以木马程序为主，也有指到含木马文件网页的链接。安装后，木马在后台收集用户名、密码、系统信息、并扫描硬盘，向远程黑客的电脑传送数据和文件。“这些带毒邮件的主题通常是收件人感兴趣的新闻。”报告说，“这事实上是个骗局，使收件人误以为病毒来源于值得信任的新闻社或政府部门。”

　　电子邮件安全公司MessageLabs的马克?森内指出，该报告透露出木马的新趋势，即从发送大量无目的带毒邮件，到向某些特定的有价值目标集中下手。“在以前，人们发现的病毒通常漫无目的的散布大量蠕虫。”森内说，“但是现在的趋势是，病毒开始集中进攻特定的组织，并试图种木马。”去年，MessageLabs发现该类邮件的数量成倍增长。

　　另一个值得注意的信息是，“窃取信息正在成为木马的主要目的”。杀毒公司Sophos的经理里查德?王说：“NISCC提到的病毒中，一大部分的目的是窃取用户信息。”但是有关方面表示，这种新趋势并没有任何新的技术成分。只要及时升级病毒包，使用最新的杀毒软件，就能有效避免攻击。

　　(责任编辑：李磊)