不是 cookie,不是 ip,那么这种从技术上是如何实现判断(该用户已经参加过)
V8WFyaw72d · 2016-03-28 22:10:34 +08:00 · 2701 次点击这是一个创建于 3147 天前的主题,其中的信息可能已经有所发展或是发生改变。
在 wooyun zone 看到一个帖子: http://zone.wooyun.org/content/26141
里面提到了一个刷 QB 的网站( http://w7690.my2048.org/ ),一般这种网站都是钓鱼什么的,也没啥稀奇的。不过这网站可以免费测试一次,填个 QQ 号,提交,就能充值 1QB ,确实可以充值,并且是秒充,这也没什么,可能骗子知道下成本。。(也可能是调用了 QQ 某个活动)
但是我好奇的是,你重新换个 QQ 号,再次提交,就会提示只能参与一次,经过简单的测试,发现不是判断 cookie,不是判断 ip 地址,当然和浏览器也无关。
我猜想可能和 QQ 的快速登录或者什么浏览器控件有些关系,这技术感觉挺有意思的,哪位知道技术细节的能不能给个简单分析,我觉得可以用到某些投票功能上。
对了,上个图,看上去有内容些:
里面提到了一个刷 QB 的网站( http://w7690.my2048.org/ ),一般这种网站都是钓鱼什么的,也没啥稀奇的。不过这网站可以免费测试一次,填个 QQ 号,提交,就能充值 1QB ,确实可以充值,并且是秒充,这也没什么,可能骗子知道下成本。。(也可能是调用了 QQ 某个活动)
但是我好奇的是,你重新换个 QQ 号,再次提交,就会提示只能参与一次,经过简单的测试,发现不是判断 cookie,不是判断 ip 地址,当然和浏览器也无关。
我猜想可能和 QQ 的快速登录或者什么浏览器控件有些关系,这技术感觉挺有意思的,哪位知道技术细节的能不能给个简单分析,我觉得可以用到某些投票功能上。
对了,上个图,看上去有内容些:
 |
1
paradoxs 2016-03-28 22:13:03 +08:00
用 TOR 应该能绕过
|
 |
2
techmoe 2016-03-28 22:21:38 +08:00
我也感兴趣,因为我也遇到过这种
|
 |
3
Slienc7 2016-03-28 22:32:08 +08:00
“为防止有人恶意使用小号刷取,只能刷给您已经登录的 QQ 号,请登录您的 QQ 后再来刷取(不能隐身!!)”
应该是腾讯哪里的漏洞。 |
 |
4
yxwzaxns 2016-03-28 22:33:59 +08:00
lz 求个会员
|
 |
6
jugelizi 2016-03-28 22:52:02 +08:00
以前记录访客 QQ 的系统一样的吧
比如早期隐藏 ifame 嵌入 qq 空间来实现获取访问者 qq 还有其他的腾讯的能返回登录用户 qq 的接口 |
 |
7
m939594960 2016-03-29 08:07:17 +08:00
 我以前也看到过这个 还尝试了很多办法, 换 ip 清 cookies 换 qq 都不行。。。 但是原理大概知道 没有想象那么难,其实就是后台弄了很多充值卡 然后填 qq 就送。。。花小钱 钓大鱼 |
 |
8
popok 2016-03-30 08:09:31 +08:00
@m939594960 原理是啥?说来听听。
|
Select Language