鳥哥,已在mm上發了相關內容,這裏再提提。當然此技術早就被人利用了,這裏就再落後的提提,相關wap應用要小心了。
在普通的web應用中,很多應用引入了人工識別操作,以避免來自互聯網的惡意行爲。比如,驗證碼。隨着wap的流行,避開人工識別有了新途徑。因爲很多wap提供web一樣的功能,比如wap.163.com,wap.qq.com等等,wap因爲與gprs流量有關,wap上的wml是非常小容量的,如果採用了驗證碼等人工識別手段,用戶反感度將大增。而wap提供相應的功能,往往又是黑客們需要的東西。
這裏提一個手段:
藉助opra瀏覽器,可以訪問wap,利用截包工具分析出http協議頭,socket模擬發包收包。鳥哥,在前公司利用wap成功任意註冊某論壇的賬號,用於惡意發貼,扣完發貼分後,再註冊新賬號
。
這方面,網易做得挺好的,它在wap上不提供email註冊!呵呵