当前位置:首页 > 电脑 > 正文

第六届金程杯 全国大学生商业精英挑战赛初赛bug

声明:

此BUG复赛时无意中发现,因初赛已结束,故将相关细节发布于此,并通知官方管理人员对其进行修复。

一个学过点儿安全的码农,能让你的公司有效避免额外损失。

比赛介绍:

http://jcb.gfedu.net/news/intro/

登录地址:

http://jcb.gfedu.net/user/userlogin/

登录后进入初赛选项,阅读比赛规则,然后可以看到初赛答题按钮处于灰色不可用状态

 

通过审查元素,发现如下代码:

<button style="background: gray; cursor: not-allowed" disabled id="ButPre" onclick="TZ()">初赛答题</button>

将disabled属性移除后,按钮变成激活状态,变成可点击状态,因为初赛结束的缘故,点击触发事件变成了:"TZ()",初赛尚未结束时,触发事件为:"Preliminaries(ID)",并且ID是直接写明在html中的。

继续追踪Preliminaries(ID)函数:

function Preliminaries(ID) { var data = { PageID: ID } $.post("/news/Preliminaries/", data, function (result) { var jsonData = eval("(" + result + ")"); if (jsonData.Status == "1") { location.href = jsonData.Return; } else { $("#MsgShow").html(jsonData.Return); $(".wcf").show(); } }); }

发现其向"/news/Preliminaries/"页面提交了post请求,模拟该请求后发现此请求只做了简单的cookie验证,并没有其余限制,置入cookie后直接可以进入初赛答题页面。

总结:

码农这个职业我一边骂着一遍干着,确实是因为对这个东西感兴趣,每次看到好的程序就会去想我怎么才能实现其中的功能,这次偶尔看到金城杯的大赛官网存在此BUG,为了保证未来比赛的公正性,也是为了提醒我将来的开发工作中要保持谨慎的态度,特将其张贴于此。


 

本博客资源若无特殊说明,均为和谐版本,无需付费,我不搞软件的会员,也不接受指定的和谐业务。

软件无法下载/安装/其它电脑问题,免费加QQ群(500人):949039296

有问题加上面的群,直接群里问,在线的时候有问必答,私聊一般都不看

想打赏微信扫右边的二维码,不建议超过10元,没指望靠这个养活我

 
文章标题:第六届金程杯 全国大学生商业精英挑战赛初赛bug
本文作者:慕若曦
发表日期:2017-10-21 05:22 星期六    首发于    暮若夕
本文固定链接: https://www.muruoxi.com/pc/1707.html
 
文章标签:
上一篇: 下一篇:

暂无评论

发表评论

╮( ̄▽ ̄)╭ | (= ̄ω ̄=) | (>﹏<) | Σ( ° △ °|||)︴ | Σ(っ °Д °;)っ | X﹏X | (╯-_-)╯╧╧

小提示:提交评论后刷新本页面即可看到隐藏的文件哦~
十年之约
加载中……