不是 cookie,不是 ip,那么这种从技术上是如何实现判断(该用户已经参加过)

2016-03-28 22:10:34 +08:00
 V8WFyaw72d
在 wooyun zone 看到一个帖子: http://zone.wooyun.org/content/26141
里面提到了一个刷 QB 的网站( http://w7690.my2048.org/ ),一般这种网站都是钓鱼什么的,也没啥稀奇的。不过这网站可以免费测试一次,填个 QQ 号,提交,就能充值 1QB ,确实可以充值,并且是秒充,这也没什么,可能骗子知道下成本。。(也可能是调用了 QQ 某个活动)

但是我好奇的是,你重新换个 QQ 号,再次提交,就会提示只能参与一次,经过简单的测试,发现不是判断 cookie,不是判断 ip 地址,当然和浏览器也无关。

我猜想可能和 QQ 的快速登录或者什么浏览器控件有些关系,这技术感觉挺有意思的,哪位知道技术细节的能不能给个简单分析,我觉得可以用到某些投票功能上。


对了,上个图,看上去有内容些:
2550 次点击
所在节点    问与答
8 条回复
paradoxs
2016-03-28 22:13:03 +08:00
用 TOR 应该能绕过
techmoe
2016-03-28 22:21:38 +08:00
我也感兴趣,因为我也遇到过这种
Slienc7
2016-03-28 22:32:08 +08:00
“为防止有人恶意使用小号刷取,只能刷给您已经登录的 QQ 号,请登录您的 QQ 后再来刷取(不能隐身!!)”

应该是腾讯哪里的漏洞。
yxwzaxns
2016-03-28 22:33:59 +08:00
lz 求个会员
popok
2016-03-28 22:37:19 +08:00
@yxwzaxns 随便去提交个小漏洞就有会员了啊
jugelizi
2016-03-28 22:52:02 +08:00
以前记录访客 QQ 的系统一样的吧
比如早期隐藏 ifame 嵌入 qq 空间来实现获取访问者 qq
还有其他的腾讯的能返回登录用户 qq 的接口
m939594960
2016-03-29 08:07:17 +08:00
我以前也看到过这个 还尝试了很多办法, 换 ip 清 cookies 换 qq 都不行。。。
但是原理大概知道 没有想象那么难,其实就是后台弄了很多充值卡 然后填 qq 就送。。。花小钱 钓大鱼
popok
2016-03-30 08:09:31 +08:00
@m939594960 原理是啥?说来听听。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/266944

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX