De nombreux sites Web de vote ne peuvent pas voter à plusieurs reprises, restreignant principalement l'IP. Une IP ne peut voter qu'une seule fois. Jetons un coup d'œil au plan de triche des sites Web de vote qui utilisent HTML pour mettre en œuvre des restrictions IP. Les amis qui en ont besoin peuvent y faire référence.
Pour les schémas de tricherie pour les sites Web de vote qui restreignent la propriété intellectuelle, cette méthode utilise certaines vulnérabilités dans les sites Web de vote pour surveiller les IP à distance et ne forge pas vraiment les adresses IP. HTTP est la septième couche au-dessus du TCP établi. Il est impossible de forger des adresses IP réelles. Récemment, des amis qui ont besoin d'un logiciel de vote. J'ai récemment étudié ce site de vote. Ce site Web de vote a un code de vérification, et chaque IP est limitée à un vote, qui semble être un site Web de vote standard. J'ai d'abord étudié le code de vérification:
Le code de vérification de ce site Web de vote est très simple à commencer, avec quatre numéros standard dans des emplacements standard, faciles à identifier. Plus tard, le nombre de nombres anormaux de chiffres n'est pas certain, et il y a des lettres, et la position n'est pas certaine. La reconnaissance des codes de vérification est non seulement difficile à reconnaître pour les logiciels, mais aussi difficile pour la reconnaissance manuelle. Il n'y a aucun moyen de sortir lorsque vous êtes à la fin de votre vie. Il y a un autre village avec des saules sombres et des fleurs. Veuillez consulter le prochain paragraphe de décomposition!
Après avoir continué à analyser et à rechercher, j'ai constaté qu'il y avait des lacunes dans son inspection du code de vérification. J'ai trouvé cette vulnérabilité. Ce code de vérification était inutile. Il n'était pas nécessaire d'identifier ou de vérifier le code. Je suis allé directement car il n'a défini un code JS que pour vérifier si le code de vérification est vide sur la page de l'option de vote. Le code JS est exécuté sur le client et l'effet de cette vérification est nul. Généralement, la vérification JS est uniquement pour la commodité des utilisateurs. En tant que site Web de vote, il n'utilise cette méthode de vérification. Sur la page Dynamique de vote, ce n'est vraiment pas une bonne idée de vérifier si le code de vérification est vide. Il pose de grands dangers cachés pour la sécurité du site Web.
En ce qui concerne le problème du code de vérification, j'ai appris la méthode de fissuration. Tant que vous n'accédez pas directement au fichier de code de vérification lors du vote, le code de vérification est vide. Étant donné que sa page dynamique ne vérifie pas si le code de vérification est vide, tant que les paramètres du code de vérification sont vides lors de la publication.
Ensuite, il y a un autre problème. Ce site Web de vote vérifie la propriété intellectuelle et restreint une IP pour permettre le vote une seule fois. Ensuite, il ne peut être réalisé qu'en utilisant un proxy ou en déconnectant constamment le réseau et en numérotation. Je ne pouvais vraiment penser à aucune autre bonne solution. Plus tard, cet ami a trouvé un programme qui peut voter sur ce site Web à une vitesse très rapide. J'étais curieux de savoir la solution IP de ce programme et j'ai demandé à mon ami de venir l'analyser.
Tout d'abord, j'ai utilisé la méthode de capture de packages sur ce logiciel de vote pour l'étudier. Après avoir été prêt, j'ai ouvert le programme de vote pour le brosser! Invite pour les conflits logiciels! Je suis étourdi, non, puis je ferai certains programmes. Après tout, je ne laisserai qu'un seul programme de saisie de package et provoquerai un conflit. Haha, il s'avère que ce programme sait toujours que quelqu'un pourrait analyser son logiciel, et il traverse en fait le nom du processus pour vérifier s'il existe des programmes suspects. Si un programme analyse ou capture le package, il refuse de l'exécuter. Haha, je sais actuellement que le logiciel qu'il restreint comprend un logiciel de programmation linguistique facile et un logiciel de capture de paquets WSOCKEXpert_CN. Haha, après avoir désactivé le langage Yi, changez le nom de WSOCKEXpert_CN, passez avec succès la propre détection de sécurité du logiciel et exécutez avec succès.
Voici les paquets pour lesquels j'ai voté pendant l'usage:
CODE XML / HTML COPIE COPIRE DU PIRMOCHE