国内的BBS社区100强正在火热评选中,下面是评选的一个投票网址:http://re.icxo.com/100bbs/index5.jsp
打开页面一看,有个校验码输入,而且校验码还进行了图像处理,OCR很难识别。
照理来说应该能防止程序投票了,其实不然:
在校验码图片上点击右键,看属性,发现校验码是由4副gif图片组成。
而gif图片的文件名就是校验码的内容。
看看html源码也可以知道校验码是什么,下面是部分html原文件片断
其中蓝色部分就是校验码文件
<table width=95% border=0>
<tr>
<td> 输入验证码: <input type="text" name="validateCode" size=8> </td>
<td><TABLE cellspacing=0 cellpadding=0><TR>
<TD><img border=0 src="images/7.gif"></TD>
<TD><img border=0 src="images/6.gif"></TD>
<TD><img border=0 src="images/0.gif"></TD>
<TD><img border=0 src="images/9.gif"></TD>
</TR></TABLE></td>
<td width=60% align=center>
<input type="submit" value=" 提 交 ">
<input type="button" value="查看结果" onclick="javascript:show();"></td>
</tr></table>
</form>
<p>如果您有推荐的社区请email到zhyx@icxo.com</p></td><td width="164" align="center" valign="top" bgcolor="#FF9900">
这不是把金库的门锁上了,而且锁很结实,但是钥匙却挂在锁上面一样了吗?
看来很权威的投票,竞然有这么有这么愚蠢的漏洞。
参与被投票的网站可以写个弹出网页来完成自动填表提交功能,
当有人浏览时自动弹出就帮自己的论坛投票了。
这样的得到的投票评选还有意义吗?
由此可见,开发人员的安全意识是计算机系统安全的最大漏洞!
以上仅仅是个人看法,仅供参考,由此操作造成任何经济损失,本人概不负责,敬请谅解!
