最近,在看程序员小山的视频唬人的验证码时,看到某平台的验证码接口竟然直接将验证码放在返回响应头的Cookie上,amazing!在一翻寻找后也是找到了这个网站(为了造成不必要的麻烦,此处不给出具体的网站,需要的自己查),下面让我们来一起探秘一下:
首先打开该网站就能知道这是一个某大赛的官网:
找了半天没找到登录入口,于是换成移动端看了看,确实是有个登录区域,但这个样式写的有点问题,看不见内容:
遂构造URL尝试猜出登录地址,最后构造为/Home/login打开发现是个登录入口:
输入手机号,发送验证码,抓到接口/SendCode,发现在响应头的Set-Cookie里确实有个verifycode:
查看手机上收到的验证码,一样,难绷:
输入验证码登录,竟真的显示“登录成功”(我的手机号在此平台未注册过):
跳转后直接404了,系统还是WindowsServer,真的难绷啊:
所以说,中国的互联网发展还是任重道远啊。
