当前位置:首页 > 宅科技 > 正文

第六届金程杯 全国大学生商业精英挑战赛初赛bug

声明:

此BUG复赛时无意中发现,因初赛已结束,故将相关细节发布于此,并通知官方管理人员对其进行修复。

一个学过点儿安全的码农,能让你的公司有效避免额外损失。

比赛介绍:

http://jcb.gfedu.net/news/intro/

登录地址:

http://jcb.gfedu.net/user/userlogin/

登录后进入初赛选项,阅读比赛规则,然后可以看到初赛答题按钮处于灰色不可用状态

 

通过审查元素,发现如下代码:

<button style="background: gray; cursor: not-allowed" disabled id="ButPre" onclick="TZ()">初赛答题</button>

将disabled属性移除后,按钮变成激活状态,变成可点击状态,因为初赛结束的缘故,点击触发事件变成了:"TZ()",初赛尚未结束时,触发事件为:"Preliminaries(ID)",并且ID是直接写明在html中的。

继续追踪Preliminaries(ID)函数:

function Preliminaries(ID) {
            var data = {
                PageID: ID
            }
            $.post("/news/Preliminaries/", data, function (result) {
                var jsonData = eval("(" + result + ")");
                if (jsonData.Status == "1") {
                    location.href = jsonData.Return;
                }
                else {
                    $("#MsgShow").html(jsonData.Return);
                    $(".wcf").show();
                }
            });
        }

发现其向"/news/Preliminaries/"页面提交了post请求,模拟该请求后发现此请求只做了简单的cookie验证,并没有其余限制,置入cookie后直接可以进入初赛答题页面。

总结:

码农这个职业我一边骂着一遍干着,确实是因为对这个东西感兴趣,每次看到好的程序就会去想我怎么才能实现其中的功能,这次偶尔看到金城杯的大赛官网存在此BUG,为了保证未来比赛的公正性,也是为了提醒我将来的开发工作中要保持谨慎的态度,特将其张贴于此。


 

欢迎加入电脑问题互助交流,群聊号码:865856349

文章标题:第六届金程杯 全国大学生商业精英挑战赛初赛bug
本文作者:慕若曦
发表日期:2017-10-21 05:22 星期六    首发于    暮若夕
本文固定链接: https://www.muruoxi.com/1707.html
 
文章标签:
上一篇: 下一篇:

暂无评论

发表评论

╮( ̄▽ ̄)╭ |  (= ̄ω ̄=) |  (>﹏<) |  Σ( ° △ °|||)︴ |  Σ(っ °Д °;)っ |  X﹏X |  (╯-_-)╯╧╧

小提示:提交评论后刷新本页面即可看到隐藏的文件哦~
十年之约
加载中……