V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
programcat
V2EX  ›  分享发现

记一次通过改 cookie 获得某网站 VIP 用户权限的案例

  •  
  •   programcat · 2015-09-28 13:16:32 +08:00 · 11203 次点击
    这是一个创建于 3331 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原文链接 : http://www.programcat.com/index/info/id/37

    最近经常上一个在线视频网站,普通用户每天可以看 10 次普通视频, 6 级 VIP 用户可以看无限次 [高清] 视频,并且还可以下载,并且还可以用更快的网站服务器看视频(不卡~)。
    网站视频质量很高,所以萌生了充 VIP 会员的打算,一看价格 600 多。。有点贵
    于是就想想看有没有什么别的方法
    由于这个网站经常上,发现它是会记录我的登陆信息的,就是关闭浏览器再打开,依然是登陆状态,也就是说记录的 cookie 。
    所以打算先看看有没有什么值得关注的 cookie 信息。

    从浏览器处看到这个域名下的 cookie 有 16 个其中 [level] 和 [user_level] 这两个键让我眼前一亮
    http://www.programcat.com/upload/image/20150927/1443361389579439.png
    这是等级 和用户等级 的意思,也就是说,更改这两个的值,是不是就可以骗过对方的网站,让他们认为我是 VIP 呢

    开搞,先试试再说。

    由于我用的 360 极速浏览器, chrome 内核,所以先下载了一个更改 cookie 的插件---EDIT THIE COOKIE 。

    用它来改 cookie ,下载好之后,在这个视频网站的页面上点击右键调出 cookie 页面,找到 leave 那一栏,把 0 改成了 6 (网站的 VIP 会员是 6 级)

    http://www.programcat.com/upload/image/20150927/1443360811645550.png
    然后点击保存,这时候刷新视频页面!!!!!
    见证奇迹的时刻到了。果然支持了高清视频播放,并且看视频也不卡了,还可以下载(其实原本我也知道下载视频的方法,另说)
    技术宅就是好~不花钱看 VIP 视频。。。。

    后记:

    一般大型网站,基本都是 cookie + session 的模式
    session 存敏感信息, cookie 存登陆信息 然后一般涉及到权限的东西,是不会存 cookie 里的
    这个网站的开发者明显偷懒了~亦或者是他们网站的服务器资源比较少。。。。
    因为存 session 里量一大,是对服务器有很大压力的。。

    52 条回复    2016-12-30 09:14:50 +08:00
    lyragosa
        1
    lyragosa  
       2015-09-28 13:17:23 +08:00
    用户等级放在 cookie 里面……这是多有信心啊……
    Strikeactor
        2
    Strikeactor  
       2015-09-28 13:24:03 +08:00
    91username
    感觉这会是个好东西
    phpcxy
        3
    phpcxy  
       2015-09-28 13:34:04 +08:00
    不会是 91 吧?
    BOYPT
        4
    BOYPT  
       2015-09-28 13:37:29 +08:00
    其实按 F12 , Resources 标签里面就可以改 cookies ,不需要插件。
    x86
        5
    x86  
       2015-09-28 13:39:56 +08:00
    看了下并不是我偶尔上的那个 91 ,不开心 ︶︿︶
    gamexg
        6
    gamexg  
       2015-09-28 13:40:10 +08:00
    我前几天看到一个网站付款金额是使用的前端表单提交的值,可以改成 0.01 。
    很奇怪设计的时候应该能意识到危险啊,怎么还这样写呢?
    programcat
        7
    programcat  
    OP
       2015-09-28 14:39:30 +08:00
    @BOYPT F12 里的 Resources 只能看不能改,至少 chrome 是这样。
    popok
        8
    popok  
       2015-09-28 14:46:02 +08:00
    @BOYPT 有插件方便,要改的话,直接 js 命令也行
    CuminLo
        9
    CuminLo  
       2015-09-28 15:03:58 +08:00
    然而并不是 91 , 那是什么呢
    BOYPT
        10
    BOYPT  
       2015-09-28 15:22:42 +08:00
    @programcat 哦~ 我记错了是 firefox 的 firebug 的 F12 。
    hanqian
        11
    hanqian  
       2015-09-28 16:01:55 +08:00 via Android
    看楼主的描述很像 91 啊。
    fxxkgw
        12
    fxxkgw  
       2015-09-28 18:06:56 +08:00
    哈哈 这么多人说 91 我只看了标题就立马想到了 91 🐺友众多呢
    66beta
        13
    66beta  
       2015-09-28 18:10:01 +08:00
    10 次,以为是 91
    ipconfiger
        14
    ipconfiger  
       2015-09-28 18:33:57 +08:00
    cookie 可以防篡改的嘛,这个都没做当然拙计啊
    giuem
        15
    giuem  
       2015-09-28 18:42:21 +08:00 via Android
    哈哈,我也以为是 91
    ksky
        16
    ksky  
       2015-09-28 18:46:14 +08:00
    成功,果然是 91 。
    Lyc1874
        17
    Lyc1874  
       2015-09-28 19:12:33 +08:00 via iPhone
    每天免费 10 个,指向性好明显
    yvanhe
        18
    yvanhe  
       2015-09-28 19:38:35 +08:00
    亲测有效 确实是 91p
    cevincheung
        19
    cevincheung  
       2015-09-28 19:49:10 +08:00
    就是 91 ……
    yangtze
        20
    yangtze  
       2015-09-28 19:55:53 +08:00
    对不起(严肃),我必须要举报这个 topic
    programcat
        21
    programcat  
    OP
       2015-09-28 19:57:44 +08:00
    @cevincheung
    @yvanhe
    @Lyc1874
    @ksky
    @fxxkgw
    @66beta
    @hanqian

    大家果然是同道中人啊。。记住闷声发大财
    hcwhan
        22
    hcwhan  
       2015-09-28 20:01:07 +08:00
    第一反应 91
    cevincheung
        23
    cevincheung  
       2015-09-28 20:03:59 +08:00
    貌似已经不行了。每次访问都重新设置一个 cookie ,会将本地的给覆盖掉。- -
    programcat
        24
    programcat  
    OP
       2015-09-28 20:30:50 +08:00   ❤️ 5
    艹。。。谁这么傻逼,联系 91 的管理员了。。。现在人家的等级信息不走 cookie 了。。看来以后还得 闷声发大财!长者教训的好啊
    cyang
        25
    cyang  
       2015-09-28 20:35:36 +08:00
    哈哈哈 我一直以为这种网站的技术力量很强大的...不然容易黑吃黑啊 没想到....
    66beta
        26
    66beta  
       2015-09-28 21:50:30 +08:00
    what ?已经阵亡了,我去
    gzlock
        27
    gzlock  
       2015-09-28 23:13:08 +08:00
    中出叛徒系列
    xfspace
        28
    xfspace  
       2015-09-28 23:31:24 +08:00 via iPad
    估计就是开发者特意留下的,你特么公布出来就没戏了🐴
    Reficul
        29
    Reficul  
       2015-09-28 23:37:31 +08:00 via Android
    我们中出了一个叛徒
    miniwoodman
        30
    miniwoodman  
       2015-09-29 00:05:17 +08:00
    当中出了一个叛徒后,程序喵表示“真是日了狗了”
    laodao
        31
    laodao  
       2015-09-29 00:11:40 +08:00
    现在删帖还来的及。。。。。
    2290293658
        32
    2290293658  
       2015-09-29 01:12:14 +08:00 via Android
    才这几个人就出了叛徒,简直了
    49
        33
    49  
       2015-09-29 07:14:07 +08:00 via Android
    卧槽…这个早就有 V 友做了,还是插件…然而人家一直闷声大发财…
    楼主,图样图森破,上台拿衣服
    Sharuru
        34
    Sharuru  
       2015-09-29 08:17:43 +08:00 via Android
    你们让我这个去年光棍节趁特价充了 lv6 的情何以堪...
    zhoujianqingz
        35
    zhoujianqingz  
       2015-09-29 09:12:44 +08:00 via iPhone
    能告之下网站吗?私信个
    gzlock
        36
    gzlock  
       2015-09-29 09:14:44 +08:00 via Android
    @Sharuru 求改密码后分享一天使用,还没体验过 VIP ,真的只用一天,有几个视频想下载
    lj6684
        37
    lj6684  
       2015-09-29 09:48:49 +08:00
    是不是 91 管理员也喜欢逛 V2EX 呀?
    popsong
        38
    popsong  
       2015-09-29 10:44:25 +08:00
    我们中出了一个叛徒
    programcat
        39
    programcat  
    OP
       2015-09-29 10:47:07 +08:00
    @laodao V2 咋删帖啊
    programcat
        40
    programcat  
    OP
       2015-09-29 10:48:18 +08:00
    @49 我错了。。。哎
    imdoge
        41
    imdoge  
       2015-09-29 11:09:13 +08:00
    第一反应不是 91 就是 caoporn 哈哈哈,看看楼上讨论还真是 :doge:
    laodao
        42
    laodao  
       2015-09-29 11:33:33 +08:00
    @programcat 联系下管理员,说你帖子涉黄了。
    lance26
        43
    lance26  
       2015-09-29 11:57:49 +08:00
    我们中出了一个叛徒
    49
        44
    49  
       2015-09-29 12:12:51 +08:00 via Android
    @Sharuru 辣鸡国安! www
    programcat
        45
    programcat  
    OP
       2015-09-29 13:29:56 +08:00
    @laodao 目标网站已经无法通过这个方法修改 cookie 了。所以现在删了也无济于事,放这里吧提供个思路
    laodao
        46
    laodao  
       2015-09-29 14:16:53 +08:00
    @programcat 额,我还行啊。
    iyaozhen
        47
    iyaozhen  
       2015-09-29 14:18:05 +08:00
    卧槽,真是日了🐶了,才来就失效了,中出叛徒。
    ByZHkc3
        48
    ByZHkc3  
       2015-09-29 14:21:06 +08:00
    也是溜到不行,哈哈
    OrangeM21
        49
    OrangeM21  
       2015-09-29 14:26:38 +08:00
    中出叛徒。
    bigger
        50
    bigger  
       2016-12-29 23:16:27 +08:00
    老司机, 刚刚亲测有效
    jiangnanwd
        51
    jiangnanwd  
       2016-12-30 00:35:51 +08:00
    @bigger 闷声发大财啊兄弟,别亲测有效啊
    iamzhuyi
        52
    iamzhuyi  
       2016-12-30 09:14:50 +08:00
    已经不好用了 大家不要试了 手动斜眼
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2693 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 09:34 · PVG 17:34 · LAX 01:34 · JFK 04:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.