当前位置:首页 > 软件下载 > 正文

第六届金程杯 全国大学生商业精英挑战赛初赛bug

声明:

此BUG复赛时无意中发现,因初赛已结束,故将相关细节发布于此,并通知官方管理人员对其进行修复。

一个学过点儿安全的码农,能让你的公司有效避免额外损失。

比赛介绍:

http://jcb.gfedu.net/news/intro/

登录地址:

http://jcb.gfedu.net/user/userlogin/

登录后进入初赛选项,阅读比赛规则,然后可以看到初赛答题按钮处于灰色不可用状态

 

通过审查元素,发现如下代码:

<button style="background: gray; cursor: not-allowed" disabled id="ButPre" onclick="TZ()">初赛答题</button>

将disabled属性移除后,按钮变成激活状态,变成可点击状态,因为初赛结束的缘故,点击触发事件变成了:"TZ()",初赛尚未结束时,触发事件为:"Preliminaries(ID)",并且ID是直接写明在html中的。

继续追踪Preliminaries(ID)函数:

function Preliminaries(ID) { var data = { PageID: ID } $.post("/news/Preliminaries/", data, function (result) { var jsonData = eval("(" + result + ")"); if (jsonData.Status == "1") { location.href = jsonData.Return; } else { $("#MsgShow").html(jsonData.Return); $(".wcf").show(); } }); }

发现其向"/news/Preliminaries/"页面提交了post请求,模拟该请求后发现此请求只做了简单的cookie验证,并没有其余限制,置入cookie后直接可以进入初赛答题页面。

总结:

码农这个职业我一边骂着一遍干着,确实是因为对这个东西感兴趣,每次看到好的程序就会去想我怎么才能实现其中的功能,这次偶尔看到金城杯的大赛官网存在此BUG,为了保证未来比赛的公正性,也是为了提醒我将来的开发工作中要保持谨慎的态度,特将其张贴于此。


通知:博客已出售

粉丝可关注公众号:大学生的电脑课,获取最新动态。博客即将关闭

软件无法下载/安装/其它电脑问题,加企鹅群:709531763

有问题直接群里问,在线的时候有问必答,私聊一般都不看

想学电脑知识可以关注我的公众号

 大学生的电脑课
文章标题:第六届金程杯 全国大学生商业精英挑战赛初赛bug
本文作者:慕若曦
发表日期:2017-10-21 05:22 星期六    首发于    慕若曦博客
本文固定链接: https://www.muruoxi.com/pc/1707.html
文章标签:
上一篇: 下一篇:

暂无评论

发表评论

╮( ̄▽ ̄)╭ | (= ̄ω ̄=) | (>﹏<) | Σ( ° △ °|||)︴ | Σ(っ °Д °;)っ | X﹏X | (╯-_-)╯╧╧

小提示:提交评论后刷新本页面即可看到隐藏的文件哦~
加载中……