今天在天猫买东西,领了个优惠券,又不知道有没有其它优惠券,就看了一下链接地址,发现居然可以通过修改链接地址找到其它优惠券,并且可以修改优惠券面值。
看了上面2个优惠券的朋友别惊讶,这不是通过修改网页标签做到的,而是通过修改优惠券链接地址做到的,下面我简单的分析:
上面第一幅图优惠券的领取地址:
http://taoquan.taobao.com/coupon/unify_apply_result_tmall.htm?seller_id=762073173&success=false&need_check=false&need_ok=true&activity_id=198626468&apply_source=daily&is_collina_check=true&ok_str=%BC%B8%B6%C8%BC%D2%BE%D3%C6%EC%BD%A2%B5%EA+2000000000.00%D4%AA%B5%EA%C6%CC%D3%C5%BB%DD%84%BB
下面是我对链接地址参数的简单分析,通过修改参数就可以获取上面的截图:
http://taoquan.taobao.com/coupon/unify_apply_result_tmall.htm? 优惠券地址
seller_id=762073173& 卖家ID
success=false& 领取是否成功
need_check=false& 是否需要验证
need_ok=true& 验证完成
activity_id=198626468 应该是优惠券地址
&apply_source=daily 应用范围
&is_collina_check=true
&ok_str=%BC%B8%B6%C8%BC%D2%BE%D3%C6%EC%BD%A2%B5%EA+2000000000.00%D4%AA%B5%EA%C6%CC%D3%C5%BB%DD%84%BB 这个转为ascII码就是:几度家居旗舰店2000000000.00元店铺优惠劵
下面的链接是领取结果图片的地址,同样修改参数就可以获取第二幅图:
http://taoquan.taobao.com/coupon/unify_apply_result_tmall.htm?seller_id=762073173&success=true&rc=&apply_source=daily&invoid_time=2014%2F11%2F27-2014%2F11%2F30&coupon_type=0&promotion_id=177286239&start_fee=3000.00&discount=2000.00
http://taoquan.taobao.com/coupon/unify_apply_result_tmall.htm?
seller_id=762073173&
success=true&
rc=&apply_source=daily
&invoid_time=2014%2F11%2F27-2014%2F11%2F30& 有效日期
coupon_type=0&
promotion_id=177286239&
start_fee=300.00& 优惠面值
discount=20000.00 使用限额
由于本人未曾做过网站的设计,也不清楚天猫对网页链接设定的规则,上面是我简单的分析,可能有些偏差。
但是我觉得把一些重要的信息明码写入链接中,总归不好吧,虽然不会造成什么破坏。
一些公开的链接地址,重要信息可以采用base64加密,防止普通人感觉疑惑,更重要的信息,可以采用其它加密方式。如果明码,那么对于非法修改的链接直接返回错误页面也可,但倘若不做处理,遇到恶搞的人,把此大额优惠券给店主看到,岂不吓一跳。
文/yanxin8原创,获取更多信息请移步至yanxin8.com...