关于抢票提前输验证码的漏洞 返回讨论区:常规讨论区
请注意,这里仅供讨论与“12306订票助手”相关的问题和建议,请勿在此发表不相关的内容。
您当前尚未登录,将会以游客身份浏览。建议您登录后再进行操作。请点击 登录注册
主题作者正在使用邮件跟踪这个主题的状态和回复情况,当状态或回复变化时,邮件通知将会发送给作者。
回复主题
关于抢票提前输验证码的漏洞
游客 ,2013/1/11 17:13:30

不知道你是怎么实现的,是不是这样的呢:

https://dynamic.12306.cn/otsweb/order/confirmPassengerAction.do?method=init 页面document.ready后才js请求刷新验证码

你用AJAX访问这个网址取token,请求验证码的script就不会被执行了,

服务器端的session还是保存着你事先准备好的验证码

你只是把同步变成异步了,避开后续的刷验证码了,不知道是不是这样?
回复
木魚(iFish) ,2013/1/11 20:55:59
基本上可以这么理解。
回复
游客 ,2013/1/12 18:16:46
其实就是 这个验证码的Session保持时间比较长,作者说过 2小时才失效
3条信息/每页10
首页上页1下页末页
回复主题
编辑器
回复
验证码
点击验证码框获得验证码。因为有人发广告,很抱歉必须使用验证码。登录后免输验证码