|
作为一个追逐网络前沿的人来说不了解网络竞拍这种商业模式实在是一种罪过! 所以我前天无聊用度娘搜索了“竞拍”一次,看到前三个都是推广的链接,便随便打开了一个,看了下历史记录,每天拍出的东西还真不少!貌似是个大站。 具体竞拍规则我就不在这里传教了,看文章的童鞋建议去了解下,这个站每拍一次消耗100“拍点”,而每100拍点等于1元人民币,也就是你出价一次就少了一块钱。 我记得上个月在《重庆时报》上看到一篇文章,就是讲竞拍网站公平性的,文中提到某些网站暗中设置竞拍机器人和网友竞拍,太高成交价,以达到赢利的目的。于是我就想看看这个网站有没有这种传说中的情况。 看懂图片需要一点数据库和SQL知识,一点关于SQL注入攻击的知识。 
接下了就是友情检测了,为了不必要的纠纷和麻烦(说实话现在说真话的人都是冒着生命危险的),所以文中的图全部采用屏蔽方式。 庆幸的是我运气还可以,很快就找到了一个注入点,列出数据库表: 
我猜Tb_user应该是存储用户信息的,SELECT count(*)一下了总会员数: 
20几万会员,看来确实是大站。 于是注册了一个Debug的用户,初始状态下这个用户的拍点是0,返点也是0,我通过修改数据库表Tb_user的列Point1和Point2来测试并证明:Point1为拍点数,Point2为返点数,如下: 
虽然SQLmap把我这句update返回了False,但实际上是成功执行了的。 好了,我选了几件已成交的商品,用成交者的名字去查询他们的Point1(拍点)和Point2(返点)的值: 
 尼玛,看到没有,这几个商品的成交者的拍点都是9个多亿~~意味着充值了900多万呢~~很明显,这是机器人...那有多少机器人呢?我用一个SELECET查询了有100万以上拍点的会员数量,结果见下图: 从上面看到,拍点在100万以上的用户有3500多人~~尼玛,机器人这么多?亲,你拍得过机器人么?而且还这么多机器人! 看着网站的《公平承诺》就觉得好笑~~如同蒙牛、伊利一样烂,中国有良心的企业没几个,都是为了挣钱不择手段,坑蒙拐骗偷!结束语:本人冒着生命危险来揭示这个网络上火爆的惊怕内幕,目的只有一个,我想说真话,我想让那些还蒙在鼓里的网友们提前警醒,虽然我没有阿桑奇那么伟大,但我也有一颗追求自由的心(PS:虽然我还没找到工作…悲催…)。另外,漏洞已经通知网站客服,大家不要恶意破坏了。
| 
窥视卡
雷达卡
发表于 2013-11-28 00:43:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2013-12-1 15:22:28