网站有个功能:发布供应信息。
一直以来,网站都可以用软件发布供应信息。
不管验证码怎么改都可以发,包括动态GIF的,加随机点,加线条,甚至用了加减乘除简单数学公式还是不行。
最后实在无计可施,决定将用户输入的验证码的值 和 服务器端的验证码同时存入数据库,看看到底一样不一样。
这么一做,恍然大悟。
我的验证码显示在客户端的图片是:1+3=,按理说,服务器端SESSION保存的应该是4,并且客户输入的也应该是4。
但是结果却不是的,还是最早之前的那个四位数的数字验证码的值:5864(举例)。
此时,豁然开朗,得出一结论:网站其它地方肯定还有用到验证码的,它的SESSION的KEY和发布供应信息时用到的验证码的SESSION的KEY是相同的。
而软件就是利用了这个漏洞,不停的发布供应信息(压根就没有用到网站发布供应信息时使用的验证码)。
于是乎我就将发布供应信息时用到的SESSION的KEY改了下,验证码改成复杂的,然后就大功告成了。
我想说的是:这个软件开发者真TMD有心思。服了都。