网站验证码改了多次还是可以用软件发布供应信息

网站有个功能:发布供应信息。

一直以来,网站都可以用软件发布供应信息。

不管验证码怎么改都可以发,包括动态GIF的,加随机点,加线条,甚至用了加减乘除简单数学公式还是不行。

 

最后实在无计可施,决定将用户输入的验证码的值 和 服务器端的验证码同时存入数据库,看看到底一样不一样。

这么一做,恍然大悟。

我的验证码显示在客户端的图片是:1+3=,按理说,服务器端SESSION保存的应该是4,并且客户输入的也应该是4。

但是结果却不是的,还是最早之前的那个四位数的数字验证码的值:5864(举例)。

 

此时,豁然开朗,得出一结论:网站其它地方肯定还有用到验证码的,它的SESSION的KEY和发布供应信息时用到的验证码的SESSION的KEY是相同的。

而软件就是利用了这个漏洞,不停的发布供应信息(压根就没有用到网站发布供应信息时使用的验证码)。

于是乎我就将发布供应信息时用到的SESSION的KEY改了下,验证码改成复杂的,然后就大功告成了。

 

我想说的是:这个软件开发者真TMD有心思。服了都。

 

posted @ 2014-01-07 17:40  屌丝大叔的笔记  阅读(220)  评论(0编辑  收藏  举报