防止软件进行微信小程序自动刷票、免费投票刷票器手机版的安全设计
防止软件进行微信小程序自动刷票、免费投票刷票器手机版的安全设计
网上各种投票特别多,很多没有做好安全设计,在各种投票漏洞,可以存在人为各种投票。最近发现有个站做法很值得大家借鉴,之前也听说过这种方法,可能之前关注不多,只是没有遇到过
一般防止重复投票,有http报文加签名,限制IP,限制浏览器,限制设备等。这些方法一般都可以通过技术手段绕过。而此站他们是在http报文里有个参数,是通过js方法动态计算出来的,即需要通过浏览器渲染,才能计算。方法名及方法体通过参数动生成的。
他们做法是:如有个简单投票 ,用浏览器打开这个页面时会加载一段js代码。其中
var show_vcode = false;
var estimate_map = {"5a7d604292beb53979067ff3": 4};
var total_seconds = 7;
var rand_int = 51;
var s_func_id = "78";
var vvv = "f76d6013749255a7a8768888c810fe28";
var func_name = "hEtdqAvW";
eval(eval("s1(10)+s1(102)+s1(117)+s1(110)+s1(99)+s1(116)+s1(105)+s1(111)+s1(110)+s1(32)+s1(104)+s1(69)+s1(116)+s1(100)+s1(113)+s1(65)+s1(118)+s1(87)+s1(40)+s1(112)+s1(51)+s1(55)+s1(50)+s1(41)+s1(32)+s1(123)+s1(10)+s1(32)+s1(32)+s1(32)+s1(32)+s1(114)+s1(101)+s1(116)+s1(117)+s1(114)+s1(110)+s1(32)+s1(56)+s1(45)+s1(51)+s1(42)+s1(49)+s1(48)+s1(43)+s1(57)+s1(45)+s1(54)+s1(42)+s1(55)+s1(42)+s1(52)+s1(43)+s1(53)+s1(43)+s1(112)+s1(51)+s1(55)+s1(50)+s1(59)+s1(10)+s1(125)+s1(10)"));
其中js方法名(函数名)通过参数func_name 服务端动态生成,下面一段eval生成对应的函数体。function hEtdqAvW(p372) {
return 8-3*10+9-6*7*4+5+p372;}
函数体也是服务后台动态生成以页面js脚本形式,返回给前端。
在投票提交表单时,通过一个另一个js调这个函数拼接此参数到http报文里。完成一次投票。
此种方法很好防止通过一般程序重复投票,可以阻止绝大部分的人。当然只靠此一种手法还是做不到防止人为刷票,如通过UI自动化手动也可以绕过,当然再加上其他防止刷票手段,就可以防止了。
如果你有对外开放的公共数据服务接口,此种方法也可以防止人为恶意爬取你的数据。对于能操作浏览器内核的人来说,他还是可以绕过。
防止软件进行微信小程序自动刷票、免费投票刷票器手机版的安全设计相关推荐
- 微信小程序自动推送当天天气情况Java版
针对网上小程序推送天气消息进行二次优化与细节调整,更快速与方便的进行完成自己功能的开发 注意全文是在别人代码基础之上做的二次优化 教程开始: 1.注册微信测试账号 第二步: 彩虹屁平台注册 拉代码 修 ...
- 基于微信小程序的在线免费小说阅读系统
项目介绍: 本系统是我的毕业设计,大概耗时一个月完成,后台部分因为某些原因就不放出来了,前端没有用什么框架比较好理解,本着开源精神发布出来.希望能帮助需要的人吧. 一.简介 本程序采用 ...
- python玩微信小程序游戏_使用python实现微信小程序自动签到功能
功能描述目标 完成多账号微信小程序每天自动签到 输出 签到成功则向微信群发送签到成功的信息 否则提示用户签到失败,需手动签到 包管理 requests itchat time threading 程序 ...
- 使用python实现微信小程序自动签到2.0
微信小程序自动签到 功能描述 目标 输出 包管理 程序的结构设计 步骤1 步骤2 步骤3 步骤4 代码实现 使用findler抓包工具查看请求类型 再次使用findler抓包,查看请求内容 使用多线程 ...
- es6 去掉空格_微信小程序自动去除input空格的方法
当用户输入账号或者密码的时候,可能会有输入空格的情况,但是实际需要是不能够有空格的,所以我们要做一个去除空格,并且适应所有input的name参数的方法,下面请看源码: wxml: js: verif ...
- 直播软件与微信小程序的测试点
这里只考虑了部分功能点,欢迎指教! 直播软件: 微信小程序:
- 微信小程序 自动对对联
微信小程序 自动对对联 微信扫描二维码体验吧
- 提供一个小工具:微信小程序自动转码机器人!供大家24小时免费使用!
弄个微信小程序自动转码机器人就可以完成,今天把我的机器人安排给大家,外面很多都是收费的,2毛钱转一次,这个钱真没必要花,我的机器人供大家24小时免费用,下面简单介绍一下机器人的功能. 目前我的机器人, ...
- 微信小程序自动检测版本并提示更新新版本
微信小程序自动检测版本并提示更新新版本 微信小程序开发过程中,我们在版本更新迭代后,微信小程序客户端并不能触发自动更新,需要用户手动清理小程序后重新搜索进入后才能获取到最新的小程序版本,但是这个是用户 ...
- 区分微信小程序版本(开发工具中、开发版、体验版、正式版)的方法?
平凡也就两个字: 懒和惰; 成功也就两个字: 苦和勤; 优秀也就两个字: 你和我. 跟着我从0学习JAVA.spring全家桶和linux运维等知识,带你从懵懂少年走向人生巅峰,迎娶白富美! 关注微信 ...
最新文章
- TypeError: expected str, bytes or os.PathLike object, not module
- 马斯克脑洞破解谁是“中本聪”?
- expand--符号矩阵的展开
- source, ~/.bashrc, ~/.bash_profile详解
- c++外观模式façade
- primefaces_使用Bean验证扩展PrimeFaces CSV
- 一个H3CNE测试的配置
- spring cloud 启动bean 循环依赖问题记录
- 一道六年级数学题,求阴影面积,那我只能用Python代码了
- 天地图怎么看历史图像_解密:看猪八戒是怎么由一头猪变成天蓬元帅的
- 嵌入式在线html编辑器,嵌入式HTML编辑器的设计与实现.ppt
- e记法 python 底数_干货满满,30个Python源代码!
- Makefile:宏定义EXTRA_CFLAGS += -D 与CONFIG_ =y
- Codeforces Round #467 (Div. 1): B. Sleepy Game(BFS+有向图判环)
- Cannot change version of project facet Dynamic Web Module to 2.5解决方案
- Netty之Channel、NioEventLoopGroup、客户端connect方法总结
- 瑞星linux病毒库位置,瑞星杀毒软件V16+怎样离线升级病毒库 病毒库离线升级办法...
- 熊猫tv新功能介绍_大熊猫内置可视化功能
- 语音识别:声学的要素和特征
- EM算法及对GMM的参数估计(EM算法的R实现 vs R mclust包)
热门文章
- 计算机职业价值观测评报告,职业价值观分析测试结果
- 老米之家域名投资是什么?域名怎么购买?域名的购买方式?
- word转html显示不完整,word页面怎么显不完全 word页面视图显示不全怎么办
- CyberDuck是一个很棒的 FTP SFTP图形化工具
- Hadoop十年解读与发展预测
- LinkedBlockingQueue多线程安全的保障 —————— 开开开山怪
- 多文件自平衡云传输(四)资源发送端 —————— 开开开山怪
- 给 木子健康管理室 添加微信公众号 并制作一条 图文消息
- 金融数据获取系列之一(优矿)
- c语言if后面的表达式是什么类型,if语句后面的表达式应该是什么?