CSDN博客

img invalid

BBS社区100强投票评选的安全漏洞(原创)

发表于2004/11/3 10:41:00  1464人阅读

分类: 其它开源

国内的BBS社区100强正在火热评选中,下面是评选的一个投票网址:
http://re.icxo.com/100bbs/index5.jsp


打开页面一看,有个校验码输入,而且校验码还进行了图像处理,OCR很难识别。
照理来说应该能防止程序投票了,其实不然:
在校验码图片上点击右键,看属性,发现校验码是由4副gif图片组成。
而gif图片的文件名就是校验码的内容。

看看html源码也可以知道校验码是什么,下面是部分html原文件片断
其中蓝色部分就是校验码文件

     
     <table width=95% border=0>
     <tr>
     <td> 输入验证码: <input type="text" name="validateCode" size=8> </td>
     <td><TABLE cellspacing=0 cellpadding=0><TR>
     
      <TD><img border=0 src="images/7.gif"></TD>
     
      <TD><img border=0 src="images/6.gif"></TD>
     
      <TD><img border=0 src="images/0.gif"></TD>
     
      <TD><img border=0 src="images/9.gif"></TD>
     
      </TR></TABLE></td>
     <td width=60% align=center> &nbsp;
      <input type="submit" value=" 提 交 ">  &nbsp; &nbsp;
      <input type="button" value="查看结果" onclick="javascript:show();"></td>
     </tr></table>
       </form>    
      <p>如果您有推荐的社区请email到zhyx@icxo.com</p></td><td width="164" align="center" valign="top" bgcolor="#FF9900">


这不是把金库的门锁上了,而且锁很结实,但是钥匙却挂在锁上面一样了吗?

看来很权威的投票,竞然有这么有这么愚蠢的漏洞。

参与被投票的网站可以写个弹出网页来完成自动填表提交功能,
当有人浏览时自动弹出就帮自己的论坛投票了。

这样的得到的投票评选还有意义吗?

由此可见,开发人员的安全意识是计算机系统安全的最大漏洞!

以上仅仅是个人看法,仅供参考,由此操作造成任何经济损失,本人概不负责,敬请谅解!
阅读全文
0 0

相关文章推荐

img
取 消
img