安全设计--防止人为刷票

爱被打了一巴掌 2022-05-31 11:21 156阅读 0赞

网上各种投票特别多，很多没有做好安全设计，在各种投票漏洞，可以存在人为各种投票。最近发现有个站做法很值得大家借鉴，之前也听说过这种方法，可能之前关注不多，只是没有遇到过；https://www.wenjuan.in/

一般防止重复投票，有http报文加签名，限制IP，限制浏览器，限制设备等。这些方法一般都可以通过技术手段绕过。而此站他们是在http报文里有个参数，是通过js方法动态计算出来的，即需要通过浏览器渲染，才能计算。方法名及方法体通过参数动生成的。

他们做法是：如有个简单投票 https://www.wenjuan.in/s/m6N3yeo/  ，用浏览器打开这个页面时会加载一段js代码。其中

var show\_vcode = false;  
var estimate\_map = \{"5a7d604292beb53979067ff3": 4\};  
var total\_seconds = 7;  
var rand\_int = 51;  
var s\_func\_id = "78";  
var vvv = "f76d6013749255a7a8768888c810fe28";  
var func\_name = "hEtdqAvW";

eval(eval("s1(10)+s1(102)+s1(117)+s1(110)+s1(99)+s1(116)+s1(105)+s1(111)+s1(110)+s1(32)+s1(104)+s1(69)+s1(116)+s1(100)+s1(113)+s1(65)+s1(118)+s1(87)+s1(40)+s1(112)+s1(51)+s1(55)+s1(50)+s1(41)+s1(32)+s1(123)+s1(10)+s1(32)+s1(32)+s1(32)+s1(32)+s1(114)+s1(101)+s1(116)+s1(117)+s1(114)+s1(110)+s1(32)+s1(56)+s1(45)+s1(51)+s1(42)+s1(49)+s1(48)+s1(43)+s1(57)+s1(45)+s1(54)+s1(42)+s1(55)+s1(42)+s1(52)+s1(43)+s1(53)+s1(43)+s1(112)+s1(51)+s1(55)+s1(50)+s1(59)+s1(10)+s1(125)+s1(10)"));

其中js方法名（函数名）通过参数func\_name 服务端动态生成，下面一段eval生成对应的函数体。function hEtdqAvW(p372) \{

return 8-3\*10+9-6\*7\*4+5+p372;\}

函数体也是服务后台动态生成以页面js脚本形式，返回给前端。

在投票提交表单时，通过一个另一个js调这个函数拼接此参数到http报文里。完成一次投票。

此种方法很好防止通过一般程序重复投票，可以阻止绝大部分的人。当然只靠此一种手法还是做不到防止人为刷票，如通过UI自动化手动也可以绕过，当然再加上其他防止刷票手段，就可以防止了。

如果你有对外开放的公共数据服务接口，此种方法也可以防止人为恶意爬取你的数据。对于能操作浏览器内核的人来说，他还是可以绕过。