今天打开招商证券牛网, 发现登录系统后有个”保持连接”的功能, 感觉不错, 想研究一下. 于是就打开了HttpWatch, 后来居然看到了这个:
注意到高亮区域了吗, 也就是说, 我可以做一个自动登录的程序, 然后打开首页后, 再打开http://etrade.newone.com.cn/validatecode/getRandomCode.jsp?randomflag=1180447151484就能得到本次的验证码内容.
这种低级错误都能犯, 真不知道他们的程序员是怎么想的, 不知他们有没有做Code Review.
已经给他们的网管发了邮件, 不知他们怎么处理.
如果以后有人利用这个漏洞, 与我无关.
The 招商证券牛网存在验证码漏洞 by iworm, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 2.5 China Mainland License.
这让我想到我那盗版的LoadRunner, 什么时候一分钟来个1000次请求的。。。