微信投票指南-教你如何微信投票点赞投票网络投票群方法 微信投票指南-教你如何微信投票点赞投票网络投票群方法

微信投票指南
教你如何微信投票点赞投票网络投票群方法

微信怎么刷票? 【刷票记】朋友圈的拉票活动有办法破解吗


这老话说的好,常在河边走,哪有不湿鞋。我常年混迹在互联网行业,总会遇到一些特殊的事情。最近就遇到一件事,让我走在了法律边缘,今日左右无事,不妨说与大家解解闷。何事上面的拉票行为大家都应该遇到过。最近几天,我母亲大人也陷入其中,在微信上疯狂的让亲朋好友帮忙给一个小朋友投票。一般来说,我是对这类活动不感冒的,但那日恰巧无事,索性点开帮忙投了个票。这事本没什么好讲的,可事儿就坏在了我这瞎折腾的心上。出于职业习惯,投完票就想看看这投票网站做的怎么样,不看不知道,一看吓一跳。这年头这种对外网站还用http协议,不知道是开发方是无知还是愚蠢呀。左右无事,又撞在我手上,不如就开电脑抓个包探探这网站虚实。熟练打开电脑,在Chrome内打开链接,呦呵,页面提示「请使用微信客户端通过正常渠道访问」。要是一般人看到这提醒,估计就是打道回府,关电脑睡了。但我是什么身份?程序员呀!这点提示对程序员还算个事吗?更何况这是个前端页面,在程序员眼里前端就没有秘密可言的好伐。说干就干,打开开发者工具,调试三件套走起。先看Sources,这里会放着网页的源代码。但这投票网站也太有诚意了,结构如此清晰,代码没压缩没混淆,随便搜搜看到的提示还主动蹦出了投票动作的链接。不得不说,在让人方便攻击的角度,这网站体验做的棒棒哒。既然对方这么有诚意,那我不搞点事出来都对不起人家的一片苦心。小小的分析下点投票按钮时要触发的请求。http://www.xxxxxxxxxx/jzhwxservlet?action=photo_ticket&ids="+window.activityPhotoId+"&id="+window.selectId+"&openid="+window.openId这请求一共三个参数,使用GET方法,没有Cookie,没有认证,发送请求后server返回ticket_ok就算投票成功。那么这三个参数要从哪获取呢?我也不知道。但对方还是很贴心的,在URL里告诉我说要从window对象取,只能听他的喽。很顺利嘛,三个参数找到了两个。没取到的openId看起来是微信的openId。貌似遇到了瓶颈,虽然这破网站安全做的差,但微信的安全做的还是挺好的。不过来都来了,只用了调试三件套中的两件似乎说不过去,顺道去network看看喽。随便翻翻接口,惊喜不断。查数据的SQL语句看起来只是单纯拼接。依据经验,这么写代码的人百分之九十九是不会关注系统的安全性的微信怎么刷票?,我们来试下这个幸运儿是不是那百分之一。我还是高估了对方程序员的水平。本以为留个注入点就好了,可对方额外赠送一份报错日志。这是什么概念,有这注入漏洞,再加上他的报错日志,看这个系统里的数据对我就如探囊取物。这网站安全能做这么差也是服气,这年头去找个大学生写出来的东西也要比这强。获得了上面的信息,剩下的事情就没什么难度含量了。分析下查询SQL语句微信怎么刷票?,通过union命令成功注入。再然后从information_schema库里拿到了所有的数据表。从中识别出了放所有本网站用户微信信息的wx_user表,我想要的openId从里面想拿多少就拿多少。有了openId,通过上面扒出来的链接,想投几票投几票,随心所欲! 话虽然这么说,但如何优雅的刷票而不被发现仍然是个问题。出于安全考虑,我决定分几批小小的刷个千八百票就成,毕竟刷到榜首太扎眼,树大招风。刷的票数能让我妈支持的小朋友的票数超过中位数,省了母亲大人去各个群奔波就好。终。后续我当「黑客」刷票的事情讲完了,那接下来就该讲讲别人刷票的故事了。为了让大家能理解我下面的话,先介绍下这活动的相关信息。本投票活动在我介入时已经持续了4~5天,投票规则是每人每天可投2票。我介入时已是活动的最后一天,换句话说就是到了大家最疯狂的时刻了。请大家一起来观察下图。这是在活动截止日最后几个小时观察到的票数变化图。权且拿榜首三甲来做个说明(最右图)。 37045号选手(红色线)的票数20:00到22:00两个小时增加了8票,很正常嘛,但从22:00到23:37一个半小时的时间票数增加了4030票。最后三小时得了总票数的10%的票。不得不说,deadline的效率真高。36508号选手(蓝色线)的票数20:00到22:00两个小时增加了10006票,厉害啦,我的同学。然后从22:00到23:37一个半小时票数增加了7票。最后三小时得了总票数27%的票。有点过分了吧。36059号选手(黄色线)的票数20:00到22:00两个小时增加了7997票,然后从22:00到23:37又增加了4185票。最后三小时得了总票数33%的票。我已无话可说。(为什么20:10分的图里没有36059号选手?因为他在20:10分时排名14,一张图里截不下)把榜首三甲拎出来不是要给自己的刷票行为寻找理由。相反的,看到如此多的人在利用漏洞刷票,我想对主办方说无数个MMP。为什么?因为主办方把教育、把征文比赛、把教育系统当成了一门生意。打着征文比赛的名头,想的全是赚钱的勾当!当然不是说挣钱不对,毕竟大家都要吃饭的,但主办方的吃相也过于太难看了。设想一下,作为一个小学生,能够参加如此大的作文比赛(起码看起来很大)是多么激动。你满怀激动的把自己最得意的一篇作文交上去,希望能够拿个小奖好在小朋友们面前有面子。但是作文交上去,主办方第一件事情便是让家长拉人投票。大众评审可以理解微信怎么刷票?,但每人每天两票,这是大众评审的路子吗?好吧每人每天两票也就算了,起码大家公平拉票。但有如此多的人通过刷票刷到了异常的高票,主办方却不闻不问,无从惩罚(是的,我看过了,他系统里无法识别刷票行为),这尽到了主办的责任了吗?满怀激情的花朵们要是知道自己认真、郑重的参加的作文比赛背后竟是如此现象不知作何想。为什么说主办方想的全是赚钱的勾当?让每人每天投票,与征文比赛是多此一举。但结合他要关注公众号才能投票来看,这可是为公众号引流,增活跃的手段。要知道一个四十万粉丝的公众号价值可不菲(是的,我看过了,本次活动有40万人参加)。更何况如此精准的粉丝群体,日常运营起来,打打学习资料、课外辅导的广告,便是稳定的一笔现金流。与此相对应的是主办方对活动的极度不重视。使用了如此漏洞百出的网站,完全置活动的公平公正性于不顾。多花一点点钱,多提一个要具备基本安全性的需求,让大家能公平竞争这么难吗?更多的问题如这样的活动是怎样在一省之内多个学校开展,是如何得到学校、老师的支持,会给花朵们造成什么样的印象不想多说。这一刻,无比怀念乌云。

未经允许不得转载:微信投票指南-教你如何微信投票点赞投票网络投票群方法 » 微信怎么刷票? 【刷票记】朋友圈的拉票活动有办法破解吗
分享到: 更多 (0)

微信投票指南-教你如何微信投票点赞投票网络投票群方法 带给你想要内容

联系我们