|
校园网络投票现在已经是征询师生意见的一种主流方式了,所有的数据都通过计算机统计,貌似公平而有效。然而,在看似公平的背后其实往往存在着巨大的漏洞,通过黑客工具的使用,公平在一瞬间就被黑客技术左右了……
Cookies验证是对用户的Cookies文件中特殊IP地址进行判断的,用户在投票时Cookies文件会被网站加入一个特殊的IP地址且时间设为无限长。但是一旦用户关闭了浏览器的Cookies功能或将Cookies清空后再一次投票,这种验证方法就会失效。
于是我决定验证一下,我首先将系统中的Cookies清空,然后重新打开IE浏览器,将“Internet选项”中的“隐私”设为“阻止所有Cookies”。修改完成后,我又一次进行了重复投票,而此时浏览器并没有弹出重复投票的警告提示,而是顺利地认为我投票成功了,显然我的判断是正确的,网站采用的就是Cookies验证防作弊。
选票我要“疯”投
如果我有大量的空闲时间,并且不在乎手腕局部抽筋的话,此时我可以一直在浏览器中重复刚才的投票动作,用体力换来大量的“有效票”。但是这样似乎并不符合黑客精神的本质,而且她如果知道我为了留下她点击鼠标点到手抽筋,估计会笑破肚子的,必须采用一个简单易行的办法。
网络投票判断投票成功的条件,往往是根据投票系统接收到的回馈数据进行判断的,根据这个特性,我决定调出抓包工具Winsock EXPert,重复一次投票动作,并点击软件中的“打开进程”按钮,在弹出对话框中选择“IEXPLORE.EXE”就可以抓取Cookies中的敏感数据,查找投票的关键代码(图1)。
从抓包数据的分析中,我发现了“choice=137&Submit22.x=74&Submit22.y=31”这段代码。随后我选择了投票系统另外一个地区,重复投票抓包。根据反馈的数据我发现“choice=137“是控制投票选项选择的关键数据,而其他数据则没有任何意义。
分析出关键数据之后,我决定利用大名鼎鼎的网络瑞士军刀NC完成批量投票的工作。首先,我复制粘贴“长安区”投票抓包分析中的有用代码到记事本中(图2),并保存为Shuapiao.txt文件。
然后,我把Shuapiao.txt和NC放到同一个目录中,在DOS命令提示符下输入“nc toupiao.edu.cn 80
虽然用NC直接发送数据省去了许多环节,但是发送1000票需要连续点击1000次也是我无法忍受的,BAT批处理文件再一次成为了我制胜的武器(图3)。通过编写BAT批处理文件,我可以精确地控制投票数。毕竟只有1000多人的一个学院,如果出现上百万的投票就会露马脚。
最后的时刻,我将TXT文本、NC和BAT文件复制在一个目录中完成运行(图4),20分钟后,我得到了1000票的完美结果。我希望我的黑客技术此时能够留住我的爱情……
清理虚假的民意
针对越来越多的网络刷票,有两个比较好的防范办法。一是用Session技术。与常用Cookies防作弊方法基本一样,它是将数据写入用户电脑的Session中,时间设置为无限长(相对来说,Session比Cookies安全,因为Session是保存在服务器上的,而Cookies是保存在客户端上的)。
另外一个方法就是用验证码技术,在投票前要先手工输入验证码。
上一篇:网络信息安全与保密的6个技术目标
下一篇:网页摹仿和抄袭的心得论
|
精品推荐