摘要:又名游俠客的程序員,能不能用點心上周交了塊錢報名參加了游俠客組織的武漢熒光夜跑活動。這次參加活動,也是第一次參加活動,感覺挺不錯的。但跑步太拼了,就早休息了。隨便給其他幾個人投票,觀察了下,就知道是投票人,是被投票人。
又名:游俠客的程序員,能不能用點心
上周交了9塊錢報名參加了游俠客組織的武漢熒光夜跑活動。我跑步有一年了,基本上是一個人在跑。這次參加活動,也是第一次參加活動,感覺挺不錯的。
五六百人參賽,文化衫和臉上的涂鴉,彩色的熒光棒,活潑的妹子們,現場氣氛很不錯!
起跑前:
我在擠到了四五排的位置:
五公里健康跑,我拼了老命,以第十名到達終點(那個唯一沒看鏡頭的就是我):
但實際上這是一場自拍比賽:跑步是不設獎項的,現場拍照上傳,然后投票評比才有獎品。反正我也喜歡拍照,就也上傳了,并分享了朋友圈看能不能拉到票。
重點來了。朋友說投票需要輸入手機號,然后獲取驗證碼才能進入投票頁面。我也有給別人投票的經驗,但是填驗證碼投票的,還沒見過。但跑步太拼了,就早休息了。
第二天起床,想看看能不能給自己加點人氣,于是不抱任何希望的打開了chrome,debug一下投票網頁:
點擊投票后給了我這個頁面:
做過微信,明白這個是微信頁面的限制,于是我從PC微信打開了該頁面。為了看看到底頁面發了個什么請求,立馬下載了fiddler(黑客技術真不會,fiddler基本操作還是會的)。
點擊投票時,頁面發送了一個GET請求(是的,GET請求):
該請求只有兩個參數,uid和pid。隨便給其他幾個人投票,觀察了下,就知道uid是投票人id,pid是被投票人id。
于是進入我自己的投票頁面,找到自己的pid,再進入另外一個人的投票頁面,找到他的pid,作為給我投票的uid,這樣就能完成他給我投票的過程了。
拼了一個URL,往chrome地址欄一放,回頭看看我的票數就加了一個。再刷新一下,哦,告訴我已經投過了不能重復投。
好奇的嘗試了下,uid不使用別人的pid,而隨便用個數字呢?意外的發現,隨意一個數字都能投票!
這樣就簡單的有點過分了,IP,id,跨域,請求間隔都沒有做限制。簡單一個腳本,隨意在哪個頁面上一跑,想拿什么獎都可以了。
function vote (targetId) { let image = new Image() let uid = Date.now() image.src = `http://m.youxiake.com/h5/run_vote?uid=${uid}&pid=${targetId}` }
回頭看看那個輸入手機號獲取驗證碼才能投票的限制... 游俠客的程序員們,能不能用點心
不敢給自己刷第一名,對第一名獎品也沒興趣。但是我對“土豪大禮包”還是很好奇的。那就維持下自己第5到10名的排名吧。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/83523.html
摘要:阿毛哥是組的開發,同時也是語言圈的大佬。阿毛哥那邊計劃是魔改一版,來達成特定表的數據從遠程服務加載這個需求。下午的我們排在最后出場,由胡爭出場演示。略有遺憾的是當時胡爭可能是過于激動,關于具體有哪些實用場景沒有細說。 本文作者是來自 TiNiuB 隊的黃夢龍同學,他們的項目 TiQuery 在本屆 TiDB Hackathon 2018 中獲得了三等獎。 TiQuery 可以搜集診斷...
摘要:而過去發生的一切,恍若昨天我一直都有個計劃每隔半年寫一篇總結以記錄我的大學生活,回看過去,總結不足,這便是我當初寫這個專題的目的。在大一結束的時候,我也寫過一篇一年總結記我的大一生活。 ...
閱讀 2458·2021-11-19 09:40
閱讀 3586·2021-11-17 17:08
閱讀 3784·2021-09-10 10:50
閱讀 2214·2019-08-27 10:56
閱讀 1942·2019-08-27 10:55
閱讀 2638·2019-08-26 12:14
閱讀 994·2019-08-26 11:58
閱讀 1494·2019-08-26 10:43