首页 新闻 搜索 专区 学院

求网站刷票的漏洞

0
悬赏园豆:200 [待解决问题]

http://112.13.105.161/tzyvote 这是我童鞋做的一个投票网站 被人刷票了.希望有人帮忙找下原因.重新清空过.

_link的主页 _link | 初学一级 | 园豆:2
提问于:2012-04-30 16:28
< >
分享
所有回答(4)
0

网站貌似打不开啊!

andrew28 | 园豆:79 (初学一级) | 2012-04-30 18:42
0

确实打不开,话说刷票方法就那几种,无非是模拟表单发送,或者截包,加上验证码会好很多,最好还是那种扭来扭去的验证码,或者干脆中文验证码,这样图片识别的难度会大很多。

V·Shawn | 园豆:202 (菜鸟二级) | 2012-04-30 19:34
0

你的概念错了,

首先,你要搞清楚,他是怎么刷的?

不同的情况要有不同的处理,

1,程序逻辑漏洞,那么改程序,这个没得说

2,如果是自动化操作(模拟浏览器)实现的话,你就需要加入抵御人机攻击的逻辑

    验证码,IP过滤,强客户端认证

   验证码也没得说,作为自动化操作领域的人来说,验证码有几种比较难识别,1)字符连体,2)字符随机扭曲,3)中文非标准字库加滤镜

   IP过滤,这个有点不靠谱,因为IP是可以换的

   强客户端认证,如果你的面向群体固定和可控的话,你可以做强客户端认证,认证可以使用ActiveX插件BHO来实现,提交CPUKEY,硬盘KEY之类

其实如果你人手够得话,在客户端实现比较复杂的鼠标,键盘检测认证逻辑和客户端配合,这样会增加破解者逆向的难度和复杂性,百度贴吧都有这个机制

rolends1986 | 园豆:246 (菜鸟二级) | 2012-04-30 23:44
0

曾经做过一个,最不保险的就是使用Cookie在客户端本机进行验证,第二就是获取投票人IP存入数据库进行比对,然后投票,二者都是有有漏洞的,使用Cookie,投票人可以在客户端清除Cookie后,继续投票。如果是比对IP,就是客户使用的无线或者拨号,等IP都是动态变化的。所以都是不靠谱。最好就是获取网卡的Mac地址,存入数据库,投票时进行比对。而且最好在客户端进行投票验证码验证,一般的投票网站安全性已经可以了~~~

zhiqiang21 | 园豆:4 (初学一级) | 2012-05-02 00:27
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册