这2天公布的好工具不少，昨天夜火我发了一个WScan v3.0 - CRST红狼小组的web扫描器，今天又来一个SessionIE 正式版，天天有新工具耍就爽了

SessionIE公开正式版，并停止更新。

一、什么是 SessionIE

SessionIE是由CCTEAM开发团队开发的通用XSS辅助工具，可利用获取的COOKIE复制相同的http会话到本地以实现直接登录。

现在很多网站都采用了通用防注入程序，那么对于这种网站，我门是否就束手无策了呢？答案是否定的，因为我们可以采用cookie注入的方法，而很多通用防注入程序对这种注入方式都没有防备。

在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.

现在很多网站都加了防注入系统代码，你输入注入语句将无法注入~~
感觉这样的防注入系统不错，但防注入系统没有注意到 Cookies 的问题！
所以就有了Cookies注入~~