鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

初探某广告联盟产生的一些猥琐想法

来源:互联网 作者:佚名 时间:2015-08-26 07:47
最近弄了个广告联盟,好像无需备案即可申请。 点击一个广告6分钱,弹窗一个4.5 毫 (注意不是土豪的豪) 然后产生一系列的想法。 ... 0x01:它如何验证一个电脑是否重复点击? 经过测试,发现只是验证IP和Cookie,并没有像某位基友传言的那样可以验证网卡甚至
最近弄了个广告联盟,好像无需备案即可申请。
点击一个广告6分钱,弹窗一个4.5(注意不是土豪的豪)
然后产生一系列的想法。
...

0x01:它如何验证一个电脑是否重复点击?

经过测试,发现只是验证IP和Cookie,并没有像某位基友传言的那样可以验证网卡甚至MAC,如果能验证这些,算是溢出了么?(@胖青年)
我进路由页面断开重新连接即可获取IP,清理Cookie后再次点击广告,成功获得6分钱。虽然这点钱没什么用,但是那种刷钱的感觉。问题来了。
我是否可以写一个程序自动断开连接重新去获取IP,然后模拟鼠标点击(表示两年前我就写过某个游戏的鼠标模拟,因为某个游戏点的手酸,还都是重复动作,(打,打,打,捡。打,打,打,捡。。)
这样是不是实现了自动化刷钱,目测一台电脑挂一天能30元-50元。(以上纯属YY)
看到这里有人肯定会说,别人肯定有某验证机制,看见你IP数据异常,你账户就被冻结了。
于是,问题又来了。

0x02:它如何验证作弊行为是本人所为还是他人所为?
如果1的观点成立,作弊会被冻结帐号,那么如果我去某一个流量大的使用某广告联盟的,我是否可以代理IP,加上断开连接获取IP等方式帮某位站长刷广告,站长当时看着钱一直升就激动了,殊不知等结账的时候直接提示冻结帐号。这个危害相当于可以冻结任意帐号。(貌似和那个黑帽SEO然后恶意K掉别人的站有点类似)
..

0x03:请求的广告地址是否可以CSRF?
当有人在我的网站点击广告之后,联盟执行了哪些动作?是否可以CSRF?
我首先获取广告的一串JS弹窗代码。
发现引用的这个JS,地址:[link href="http://js.yimeiads.com/page/?s=32169"]http://js.yimeiads.com/page/?s=32169
[/link]
01.jpg
打开后出现域名限制,明显已经告诉我是验证了referer.
于是,伪造之。
02.jpg
成功访问。
03.jpg
直接看看得有点晕,习惯性打开工具格式化之然后丢进MyEclipse..
04.jpg
关键代码如图。完整代码:1.txt
var obj = new Object;
    obj.isop = 0;
    obj.w = window;
    obj.d = document;
    obj.width = screen.width;
    obj.height = screen.height;
    obj.userAgent = navigator.userAgent.toLowerCase();
    obj.url = "http://ad.yimeiads.com/iclk/?s=MjY1ODU2fGh0dHA6Ly93d3cuamVhcnkub3JnfHx8fHx8fHx8fDEzODM4NzYyNjB8MTgzLjYzLjIxNy4xNjB8NTYyfGNwbXw5fDIzOTU3fDM5MTV8MzIxNjl8MTkwMDc=;a944c33881f96b6f401258a4df65c944;http%3A%2F%2Fwww.jiaoshizhaopin.net%2Fbjr.html%3F107" + _adds_;
    obj.openstr = "width=" + obj.width + ",height=" + obj.height + ",toolbar=1,location=1,titlebar=1,menubar=1,scrollbars=1,resizable=1,directories=1,status=1";
    obj.browser = {
        version: (obj.userAgent.match(/(?:rv|it|ra|ie)[\/: ]([\d.]+)/) || [0, "0"])[1],
        safari: /webkit/.test(obj.userAgent),
        opera: /opera/.test(obj.userAgent),
        ie: /msie/.test(obj.userAgent) && !/opera/.test(obj.userAgent),
        max: /maxthon/.test(obj.userAgent),
        se360: /360/.test(obj.userAgent),
        tw: /theworld/.test(obj.userAgent),
        tt: /tencenttraveler/.test(obj.userAgent),
        ttqq: /QQBrowser/.test(obj.userAgent),
        tt5: /qqbrowser/.test(obj.userAgent),
        sg: /se /.test(obj.userAgent),
        ff: /mozilla/.test(obj.userAgent) && !/(compatible|webkit)/.test(obj.userAgent)

关键就在这了,它open了一个加密的url,后面带上了一些客户端信息。
于是问题来了,我是否可以直接直接构造这个url然后放在img的src里,别人看到某图片我就得到钱了。
构造地址大概如:http://url/iclk/?s=********/clientinfo
..
由于公司路由不能乱关,没有实际测试。等我有时间补上。
还有很多并不完善的想法,不发了。
欢迎吐槽,欢迎指正
网友评论
<