标签:referer 名称 地址 服务 屏蔽 失败 输入 全屏 src
今天在修改密码时提示修改失败(必须包含字母,数字,特殊字符),习惯性的查看下请求响应,如图,
轻松获取到改密码的接口地址,以及请求方式。
查看POST请求参数
很显然,应该是使用js把新密码和旧密码进行了加密。关于具体如何加密,这无关紧要。因为需要原密码,所以密码你可以放心,这个改不了~~~不过,举一反三,细思极恐,不需要密码的岂不是完蛋了!!!
emmmm,写着写着举报文成了教唆文~~~~(尴尬的表情)
说一下过程,比如,我发布了一篇文章到博客园首页,你看到标题觉得不错于是点了一下,这时页面跳转到我写的博客,重点来了!!!---------------这时候,你在博客园的登录用户名已经被我偷偷修改,你发布的博客被我全部删除!你的博个人签名被我肆意恶搞!
修改登录用户名只需要旧的登录名,这个不难搞!
删除博客只需要博客ID,太好搞了!在哪我不能说!~~~~
自己想了一下,HTTP请求真的无法避免被监听,Cookie,referer 啥的也都没啥用,解决之道只能在服务端,毕竟只有服务端才是对用户完全屏蔽!简单点的,当用户在一段时间第一次删除博客时,服务端请求输入密码验证,验证通过尽情删,过一段时间再删除博客再重新认证下!把delete权限抽取出来,放session里记录是否有过delete授权。貌似遇见过这种套路。。。至于其他的无关紧要的修改,如果不嫌麻烦也可以如此~~~emmmmm
关于上面如何删除别人博客以及恶搞的细节,仁者见仁,智者见智,没必要说出来~
标签:referer 名称 地址 服务 屏蔽 失败 输入 全屏 src
原文地址:https://www.cnblogs.com/yueshutong/p/9503432.html
