解析PHP跨站刷票的实现代码
function curlrequest($url, $postfield,$referer='',$cookie='') {
//http://www.jb51.net
$ip= rand(100, 244).'.'.rand(100, 244).'.'.rand(100, 244).'.'.rand(100, 244);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $postfield);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_HTTPHEADER, array('X-FORWARDED-FOR:'.$ip, 'CLIENT-IP:'.$ip)); //构造IP
curl_setopt($ch, CURLOPT_REFERER, $referer); //构造来路
$data = curl_exec($ch); //运行curl
curl_close($ch);
return $data;
}
$url='http://xxxxx/vote.php';
$ref='http://xxxxx/index.php';
$cookies='';//构造你的cookies
$postfield=array(
'information_id'=>201204211839164950
);
$postfield = http_build_query($postfield);
$result = curlrequest($url, $postfield,$ref,$cookies);
echo $result;
相关推荐
-
从刷票了解获得客户端IP的方法
前两个星期帮一个朋友的亲戚的孩子刷票,谁让咱们是程序员呢.这当中也遇到过重装系统,除灰尘,淘宝购物,盗QQ,下电影,某一个软件为什么不能使用等等,要是说不会,他们就说你电脑技术不是挺牛逼的吗,这点问题都解决不了. 刷票,分为多种限制,注册用户,验证码,以及IP限制.这个刷票网站,而不,是这个投票网站,限制了IP.如果要突破限制,我们需要了解如何获得用户的IP. getenv('HTTP_X_FORWARDED_FOR') getenv('HTTP_CLIENT_IP') getenv('REMO
-
网站防止被刷票的一些思路与方法
1. IP限制 这是使用的最多,也是最广泛,不可少的刷票限制.而且由于专题都没有用户模块,使得这个方法,几乎成了唯一可行的手段.该方式,通过获取访问游客的IP地址,来限制其在一段时间内所能使用的票数.当然,正常访问页面投票的游客,肯定都能很好的被这个手段所限制,但是,各种投票的活动和专题,以及丰厚的奖品,使得一些人想方设法的想要进行刷票. ADSL用户,可以通过断线重拨来更换IP地址. 使用代理访问的用户,我们也无法获得其真实的IP地址. 还有我们未知的刷票工具. 以上都是我们没有办法克服的难题
-
PHP投票系统防刷票判断流程分析
近期,我做了一个娱乐门户的投票系统,也是被刷票搞的焦头烂额,一切可用的方法都用了.但都不是太理想,最终,琢磨出来了下面的方法,我做成了流程图与大家分享.看不懂流程的也不要钻牛角了,本人也不做太多无聊的解释,当然,这个流程只是一个大体的过程,中间还有很多的判断,主要运用的还是session.因为什么验证码什么的,那你别用在互联网投票系统中来吧,没有人去验证,一看就烦了.还是那句话,我的WEB开发笔记中写的全是一些简单的思想性的东西,如果想完善,可以自己扩展.本人没有时间解释.以下的流程图中,一定要
-
12306 刷票脚本及稳固刷票脚本(防挂)
12306 刷票脚本及防挂 一年一度的"抢票运动会"又开始了,期间12306网站承受的压力越来越大,极不稳定.随着人们对互联网越来越熟悉,导致大量刷票软件的用户量猛增,大量的访问将12306快压垮了,以至于使用12306自家的刷票助手经常崩溃而无法继续刷票.作为一名"资深"的程序员,我无法忍受了,所以果断出手,写了一段js来防挂. 本来想简单的解决一下刷票自动挂的问题,后来想想写都写了,不如再增加几个有用的功能. 现在脚本的功能有: 防止自动刷票崩溃(挂掉后自动重新
-
基于PHP给大家讲解防刷票的一些技巧
刷票行为,一直以来都是个难题,无法从根本上防止. 但是我们可以尽量减少刷票的伤害,比如:通过人为增加的逻辑限制. 基于 PHP,下面介绍防刷票的一些技巧: 1.使用CURL进行信息伪造 $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "http://localhost/2.php"); curl_setopt($ch, CURLOPT_HTTPHEADER, array('X-FORWARDED-FOR:8.8.8.8', 'CLIEN
-
人气永夺冠军 教你无限自动刷票(图)
每个人都有自己的偶像,包括笔者也是如此,但是当你喜欢的明星,在参与一些有规模的竞争投票时,你是否想为她投取N多的选票,或者干脆威逼着周围的朋友,也一同来支持自己所喜欢的明星.然而就算你做到了以上这些,你所支持的明星还是无法胜出?难道你真的就要放弃?答案当然是否定的,具体如何刷取投票,请见下文所示! 准备工作:在做任何操作之前,需要从网上下载WSockExpert抓包和NC瑞士军刀两个工具,以便我们在刷票操作中,随时使用到其两种不同的利器,否则"毛手毛脚"的到处寻找,很容易打断大家刷取投
-
php防止恶意刷新与刷票的方法
本文实例讲述了php防止恶意刷新与刷票的方法.分享给大家供大家参考.具体实现方法如下: 一般来说,恶意刷新就是不停的去刷新提交页面,导致出现大量无效数据,下面我们来总结一下php 防止恶意刷新页面方法总结. 防止恶意刷页面的原理是: 要求在页面间传递一个验证字符串, 在生成页面的时候 随机产生一个字符串, 做为一个必须参数在所有连接中传递.同时将这个字符串保存在session中. 点连接或者表单进入页面后,判断session中的验证码是不是与用户提交的相同,如果相同,则处理,不相同则认为是重复刷
-
简易的投票系统以及js刷票思路和方法
早就听说有什么刷票脚本,微博投票等等相关的投票都有某些人去刷票. 试一下吧,兴许自己也会刷票呢?捣鼓了几个小时,终于有所眉目. (1)投票系统 要刷票,就得先有个投票界面. 当然,可以直接去各个投票网站就行,不过这里还是自己弄个投票页面,方便自己. 页面大致如下 或者 查看演示 照理,界面很简洁,但也基本有了投票的基本功能. 原始规则是:只能投一次票,然后提示成功,然后按钮不可用. 都是原生JS,DOM操作不灵活的可以借此练练手.当然,用jq将会很便捷. html/css部分 <!DOCTYPE
-
解析PHP跨站刷票的实现代码
废话不多说,上代码 复制代码 代码如下: function curlrequest($url, $postfield,$referer='',$cookie='') { //http://www.jb51.net $ip= rand(100, 244).'.'.rand(100, 244).'.'.rand(100, 244).'.'.rand(100, 244); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url);
-
PHP实现的防止跨站和xss攻击代码【来自阿里云】
本文实例讲述了PHP实现的防止跨站和xss攻击代码.分享给大家供大家参考,具体如下: 文档说明: 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入.跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPC
-
解析django的csrf跨站请求伪造
目录 1.什么是跨站请求伪造 2.如何规避跨站请求伪造(csrf校验) 3.如何符合csrf校验 3.1 form表单如何符合校验 3.2 ajax如何符合校验 4.csrf相关的装饰器 4.1 针对FBV的csrf装饰器 4.2 针对CBV的csrf装饰器 1.什么是跨站请求伪造 请看图: 我们自行写了一个网站模仿中国银行,用户不知道是否是真的中国银行,并且提交了转账信息,生成一个form表单,向银行服务器发送转账请求,这个form表单和正规银行网站的form表单一模一样,只不过里面隐藏着改变
-
Django CSRF跨站请求伪造防护过程解析
前言 CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF. 攻击原理 1.用户访问正常的网站A,浏览器就会保存网站A的cookies. 2.用户在访问恶意网站B, 网站B上有某个隐藏的链接会自动请求网站A的链接地址,例如表单提交,传指定的参数. 3.恶意网站B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网站A的时
-
也谈一个跨站的利用
1.方法: 网易同学录留言功能存在跨站,这里演示一个利用它把自己加为班级管理员的方法. 在留言框里填写: +++try%20%7B%0D%0A%09var%20as%20%3D%20document.getElementsByTagName%28%22a%22%29%3B%0D%0A%09var%20frm%20%3D%20document.getElementsByTagName%28%22iframe%22%29%5B0%5D%3B%0D%0A%09frm.onload%20%3D%20fu
-
php中防止伪造跨站请求的小招式
伪造跨站请求介绍 伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等.这种攻击常见的表现形式有: 伪造链接,引诱用户点击,或是让用户在不知情的情况下访问 伪造表单,引诱用户提交.表单可以是隐藏的,用图片或链接的形式伪装. 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查.这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦. yahoo对付伪
-
PHP和XSS跨站攻击的防范
其实这个话题很早就想说说了,发现国内不少PHP站点都有XSS漏洞.今天偶然看到PHP5的一个XSS漏洞,在此小结一下.顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下. 如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些). 国内不少论坛都存在跨站脚本漏洞,例如这里 有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3.国外也很多这样的例子,甚至Google也出现过,不过在12月初时修正了.跨站攻击很容易就可以构造,而且非常隐蔽,不易被查
-
BBSXP5.15跨站攻击漏洞
前言:在新云网站管理系统1.02出来的时候,他的留言本就存在跨站漏洞,我测试了黑客动画吧,还好没有开放留言本功能,然后又测试了黑软基地 居然可以成功利用,和新云官方网站都成功拿倒了管理元的cookies. 想不到吧. 看来跨站不得不防范啊! BBSXP的漏洞近段时间闹得可火.现有的漏洞大家都见过了,就不说了.今晚无聊,看了看BBSXP 5.15最新版的几个文件代码,发现还是存在跨站攻击的漏洞. Cookies.asp文件,代码如下: 对提交的 "no" 参数没做处理.再看setup.a
-
php安全开发 添加随机字符串验证,防止伪造跨站请求
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串:而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg. 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查.这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦.现在防范方法基本上都是基于这种方法的了 随机串代码实现 咱们按照这个思路,山寨一个crumb的实现,代码如下: 复
-
ThinkPHP2.x防范XSS跨站攻击的方法
本文实例讲述了ThinkPHP2.x防范XSS跨站攻击的方法.分享给大家供大家参考.具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下. 原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script. 原理: http://ask.lenovo.com.cn/index.php?s=1%3Cbody+onload=alert(1)%3E 其中m的值是一个不存在的module,同时是一个完全的script,
随机推荐
- 详解VMware中CentOS配置多网卡多IP
- asp.net core MVC 过滤器之ActionFilter过滤器(2)
- Serverless 架构如何演进详细介绍
- SpringBoot应用启动过程分析
- iOS开发中#import、#include和@class的区别解析
- Android控件之Gallery用法实例分析
- C#使用正则表达式抓取网站信息示例
- python3.4用循环往mysql5.7中写数据并输出的实现方法
- C语言顺序表的实现代码
- Android 解决build path errors的问题
- PHP缩略图生成和图片水印制作
- smarty简单入门实例
- 一个shell小案例(创建日期目录)
- jquery增加时编辑jqGrid(实例代码)
- jquery马赛克拼接翻转效果代码分享
- C#中DataTable 转实体实例详解
- Javascript中常见的校验如域名、手机、邮箱等等
- Google 地图类型详解及示例代码
- C++关键字typename的深入理解
- Android添加图片到ListView或者RecyclerView显示