鸟哥,已在mm上发了相关内容,这里再提提。当然此技术早就被人利用了,这里就再落后的提提,相关wap应用要小心了。
在普通的web应用中,很多应用引入了人工识别操作,以避免来自互联网的恶意行为。比如,验证码。随着wap的流行,避开人工识别有了新途径。因为很多wap提供web一样的功能,比如wap.163.com,wap.qq.com等等,wap因为与gprs流量有关,wap上的wml是非常小容量的,如果采用了验证码等人工识别手段,用户反感度将大增。而wap提供相应的功能,往往又是黑客们需要的东西。
这里提一个手段:
借助opra浏览器,可以访问wap,利用截包工具分析出http协议头,socket模拟发包收包。鸟哥,在前公司利用wap成功任意注册某论坛的账号,用于恶意发贴,扣完发贴分后,再注册新账号
。
这方面,网易做得挺好的,它在wap上不提供email注册!呵呵