引言
最近购买了某商品,其上贴有所谓“海关商品溯源”系统贴纸,使用方法大致如下:
- 扫描二维码获取url进入系统
- 输入涂层下口令的末位并验证
但是发现其url包含了所需输入口令的一部分,也就是说它本来就藏在二维码中。
尝试更改url,即可构造出任意密码皆可查询成功的url。
并且可以更改成使原密码无效的url。
简析
查询界面url结构为通用段A+口令末位,服务器根据此返回整个口令,为通用段B+口令末位。
其查询过程即为发送参数包含口令以及输入口令末位的请求,服务器应该是直接根据参数是否匹配返回结果,同时返回的还有此参数的查询次数。
但是通用段不可任意更改,某些值会导致查询失败。
结论
那就有几个可能:
- 这是设计给假货的盗版系统
- 这是外包给哪个大学生做的系统
但是东西用着感觉和以前一样,这个系统好像也和以前官方买的一样......