黑洞咖啡馆绕过邀请码注册成功,我把这个发出来纯粹为了好玩,建议把这个漏洞补一补。PS:能不封我账号吗?
winterock 2014-10-07 00:26:09 +08:00 33735 次点击这是一个创建于 4089 天前的主题,其中的信息可能已经有所发展或是发生改变。
@neoz (话说创建主题能at人么?)
前几天忙着到处去吃高价饭(参加婚礼),刚刚看到“黑洞,新宇宙。V2EX 特别暗号”,发现已经来晚了。看大家回复得那么热闹,感觉好像还挺有意思的。
(请注意,以下步骤中的代码故意写的有问题,照抄可是不能正常运行的哦。)
可是,没有邀请码肿么办?那就尝试一下能不能绕过咯。
1,试试邀请码coffee4us以及随便输入一个邀请码 -> 提示错误
2,浏览一下注册页面的代码,用的是bootstrapValidator来验证,另外页面中写了一段js代码来初始化bootstrapValidator。这东西没用过,没关系,去找官网看看api。
3,然后很顺利得就发现了貌似可以在chrome的console下这样做,form.bootstrapValidator('updateStatus', 'invitecode', 'VALIDATED'),前面的错误提示消失了
4,点击注册,又出现了错误提示,估计提交的时候还会再验证一次
5,没关系,重新找一个api--form.bootstrapValidator('removeField', 'invitecode')
6,点击注册,由于填的邀请码是“111”,提示验证码不存在。诶,有戏!
7,再来,把邀请码改为别人用过的,例如“coffee4us”
8,Mission Complete!
如果给站主带来什么麻烦,提前说一声抱歉啦。
要解决上面这个问题,需要在后台再判断一下,用过的或者过期的邀请码不能再用,就好了。
最后,再ps一次,能不封我账号么?我不会干坏事的!!!
前几天忙着到处去吃高价饭(参加婚礼),刚刚看到“黑洞,新宇宙。V2EX 特别暗号”,发现已经来晚了。看大家回复得那么热闹,感觉好像还挺有意思的。
(请注意,以下步骤中的代码故意写的有问题,照抄可是不能正常运行的哦。)
可是,没有邀请码肿么办?那就尝试一下能不能绕过咯。
1,试试邀请码coffee4us以及随便输入一个邀请码 -> 提示错误
2,浏览一下注册页面的代码,用的是bootstrapValidator来验证,另外页面中写了一段js代码来初始化bootstrapValidator。这东西没用过,没关系,去找官网看看api。
3,然后很顺利得就发现了貌似可以在chrome的console下这样做,form.bootstrapValidator('updateStatus', 'invitecode', 'VALIDATED'),前面的错误提示消失了
4,点击注册,又出现了错误提示,估计提交的时候还会再验证一次
5,没关系,重新找一个api--form.bootstrapValidator('removeField', 'invitecode')
6,点击注册,由于填的邀请码是“111”,提示验证码不存在。诶,有戏!
7,再来,把邀请码改为别人用过的,例如“coffee4us”
8,Mission Complete!
如果给站主带来什么麻烦,提前说一声抱歉啦。
要解决上面这个问题,需要在后台再判断一下,用过的或者过期的邀请码不能再用,就好了。
最后,再ps一次,能不封我账号么?我不会干坏事的!!!
164 条回复 2014-11-23 21:33:55 +08:00
 | 1 Lucups 2014-10-07 00:31:50 +08:00 我不会把这个秘密告诉别人的,前提是楼主你快给我个邀请码 :) |
 | 3 yy1983 2014-10-07 00:41:40 +08:00 这……膜拜大神中~就算发出来了~我也没看懂…… |
 | 4 ipconfiger 2014-10-07 00:53:08 +08:00 ReferenceError: form is not definedmessage: "form is not defined"stack: (...)get stack: function () { [native code] }set stack: function () { [native code] }__proto__: Error |
 | 5 |
| 6 ipconfiger 2014-10-07 00:59:23 +08:00 测试失败  |
 | 7 luckykong 2014-10-07 01:00:47 +08:00 哦哈哈哈哈,新技能get~~顺利成功~希望不会封号 |
| 9 ipconfiger 2014-10-07 01:03:20 +08:00 @luckykong 几时成功的?不会这么点背吧,刚看到服务端已经封了 |
| 11 ipconfiger 2014-10-07 01:04:19 +08:00  |
 | 12 neoz 2014-10-07 01:04:28 +08:00 前些天在处理邀请机制的时候急着有事情,就匆匆忙忙的做了简单的验证。以至于现在的状况。很感谢对于BUG的反馈~不会封号的拉,善意折腾的用户是好用户 |
| 13 luckykong 2014-10-07 01:05:48 +08:00 @ipconfiger 就在我发消息前一分钟成功的~ |
| 14 ipconfiger 2014-10-07 01:07:15 +08:00 @luckykong 慢了一步,失败,洗洗睡了 |
| 15 neoz 2014-10-07 01:12:02 +08:00  1 |
 | 17 slowfei 2014-10-07 01:14:09 +08:00 1 刚想试试洞洞, 发现有码 bf58432148b643a8b4c41c3901b81d1b (已使用) 接力 13e0413a1acb5c259d9da6efa1657e70 |
| 18 ipconfiger 2014-10-07 01:39:01 +08:00 |
| 19 ipconfiger 2014-10-07 01:39:49 +08:00 @neoz 以为是好玩的解密游戏 |
 | 20 aliuwr 2014-10-07 01:44:51 +08:00 我的方法直接粗暴。 在页面内嵌的代码中看到 invitationCode 一段,认为 remote 是关键字。 打开 Firebug, 将 bootstrapValidator.min.js 格式化,搜索 remote, 直接在 2728 行下断点,修改返回值 a.valid 为 true。 建议楼主下次发现问题先尝试联系网站相关人员,避免给其带来恶性的后果。 |
 | 22 zhigang1992 2014-10-07 02:09:13 +08:00 邀请码是现有用户邮箱的MD5吗? |
| 23 zhigang1992 2014-10-07 02:19:03 +08:00 |
 | 24 13k 2014-10-07 02:23:34 +08:00 via iPad I took this 6e38023fb202d0261c75359d81402729 |
| 26 13k 2014-10-07 02:31:02 +08:00 via iPad be03d2094262d536da895425153f2d8b |
 | 27 dinghua 2014-10-07 02:36:11 +08:00 接力: cc86401757f4da37874831eb6da0e8bd |
 | 28 HELLODC 2014-10-07 03:32:03 +08:00 求接力啊!! |
 | 29 Busy 2014-10-07 07:14:03 +08:00 没人接力了? |
 | 30 liyandong 2014-10-07 07:55:08 +08:00 快,我要邀请码。[email protected] |
 | 31 RIcter 2014-10-07 08:13:31 +08:00 via iPhone 看这样子没做后端验证? 又不像没做后端验证的样子…什么神奇原理… 我直接post data可以么 |
 | 32 frozenfall 2014-10-07 08:26:36 +08:00 frozenfall21#gmail.com 放假只顾玩去了,没有来呢~~~谢谢啊~~~ |
 | 33 karonl 2014-10-07 08:42:50 +08:00 via Android 真诚求暗号 [email protected] |
 | 34 letitbesqzr 2014-10-07 08:50:25 +08:00 monkeysqzr#gmail.com |
 | 36 gerorim 2014-10-07 09:03:31 +08:00 |
 | 37 mmmiao 2014-10-07 09:04:02 +08:00 求一枚邀请码 [email protected] ,谢谢啦 |
 | 38 evilangel 2014-10-07 09:08:52 +08:00 好吧,原来邀请码是邮箱MD5加密字符串,刚拖了一下,找到@winterock 兄弟的邮箱MD5转了下测试注册成功了,在此说声抱歉跟谢谢。最好改进一下! 另外送上接力:942dd536997a91113dc2ed566d917279 |
 | 39 20140930 2014-10-07 09:09:53 +08:00 用了36楼的,接力de2f094cadc06786924b664695201437 |
 | 41 Mcatt 2014-10-07 09:22:29 +08:00 求邀请码接力! |
 | 42 MexiQQ 2014-10-07 09:23:02 +08:00 断掉了嘛??求接力啊 |
 | 44 Moker 2014-10-07 09:32:24 +08:00 s试了下上面的 全部使用过了 求接力 |
 | 47 palytoxin 2014-10-07 09:56:22 +08:00 看了域名 习惯性的登录了xcafe.com... |
 | 49 LittleTodd 2014-10-07 10:29:42 +08:00 发一枚邀请码 989380ba6e0ac0bf45ef92ee4d1f2b76 |
 | 50 zzetao 2014-10-07 10:34:42 +08:00 @LittleTodd 已使用 |
 | 54 cjjia 2014-10-07 10:43:35 +08:00 f88e8c9f69d98b83cf8cd7f01cd7f5ec |
 | 55 dotpig 2014-10-07 10:45:35 +08:00 |
 | 66 ChangeTheWorld 2014-10-07 11:00:13 +08:00 1 |
 | 67 ybh37 2014-10-07 11:01:17 +08:00 |
 | 68 lioekas 2014-10-07 11:01:56 +08:00 已用 4287605e94e666f9b511e9def032a0ec |
 | 70 akafeng 2014-10-07 11:05:15 +08:00 怎么没有人接力了 |
 | 73 2014-10-07 11:09:44 +08:00 @chinafeng ccefcc90bfc6c4f0fe63c18ea93471bd |
 | 74 zzNucker 2014-10-07 11:14:52 +08:00 用了的接一下力哈~ |
 | 75 wmq5451532 2014-10-07 11:16:42 +08:00 @neoz 需要闲置服务器吗? |
 | 77 winterock OP |
 | 79 F2Sky 2014-10-07 11:24:08 +08:00 在线刷新等接力 ~~~~(>_<)~~~~ |
 | 80 yinxingren 2014-10-07 11:33:16 +08:00 @F2Sky 79941d6b5c3c08aa8dd7d899fb2ab43f 发我张好人卡把 |
| 81 F2Sky 2014-10-07 11:35:23 +08:00 |
 | 84 jun708 2014-10-07 11:39:09 +08:00 我也求一个 能够发邮箱吗? [email protected] |
 | 85 amon 2014-10-07 11:39:58 +08:00 gosuxm#gmail 哪个兄台友情发个过来,继续接力 |
 | 86 Artotria 2014-10-07 11:44:02 +08:00 |
 | 87 CMGS 2014-10-07 11:48:40 +08:00 求一个 ilskdw # gmail |
 | 91 GitFree 2014-10-07 11:58:45 +08:00 1 接一个 348497d0c2dd862598d1ee96a6327709 |
 | 96 raychar 2014-10-07 12:07:43 +08:00 是有多少人守着这帖啊,秒注啊! |
| 98 jun708 2014-10-07 12:09:24 +08:00 汗 这个也太快了 能够给我一个发邮箱吗? [email protected] 谢谢 |
| 100 Moker 2014-10-07 12:31:12 +08:00 继续求。。哎 |
Select Language