当前位置:Gxlcms > PHP教程 > 关于投票系统刷票形式原理(突破ip限制刷票PHP版)

关于投票系统刷票形式原理(突破ip限制刷票PHP版)

时间:2021-07-01 10:21:17 帮助过:20人阅读

关于投票系统刷票方式原理(突破ip限制刷票PHP版)

先说一点:其实不算是突破ip限制,因为事实上,这个限制是在服务器端的,客户端在牛逼,也突破不了..只是可以一直刷多次票罢了

一个朋友突然发了一个网站,让我帮她投投票..我这人一项比较好说话,就帮她投了.顺便分析了这个网站,发现这个网站的投票系统有ip限制,但是投票是一个ajax请求.那么办法就出来了.

很多投票PC网站都是依靠限制ip,来限制投票人数.那么我用curl伪造IP,那么就可以轻易制造多个IP进行投票.

下面贴上PHP代码:

由于对方是GET AJAX请求,我这里就贴上GET方法,POST方法请自行修改

  1. <!--?php/** * @author 邹颢
  2. [email protected] */$ip_long = array(
  3. array('607649792', '608174079'), //36.56.0.0-36.63.255.255
  4. array('1038614528', '1039007743'), //61.232.0.0-61.237.255.255
  5. array('1783627776', '1784676351'), //106.80.0.0-106.95.255.255
  6. array('2035023872', '2035154943'), //121.76.0.0-121.77.255.255
  7. array('2078801920', '2079064063'), //123.232.0.0-123.235.255.255
  8. array('-1950089216', '-1948778497'), //139.196.0.0-139.215.255.255
  9. array('-1425539072', '-1425014785'), //171.8.0.0-171.15.255.255
  10. array('-1236271104', '-1235419137'), //182.80.0.0-182.92.255.255
  11. array('-770113536', '-768606209'), //210.25.0.0-210.47.255.255
  12. array('-569376768', '-564133889'), //222.16.0.0-222.95.255.255);$rand_key = mt_rand(0, 9);$ip= long2ip(mt_rand($ip_long[$rand_key][0], $ip_long[$rand_key][1]));//随机生成国内某个ip$url='localhost/ip.php';//这里请填写投票的请求地址$ch = curl_init($url);$header = array( 
  13. "CLIENT-IP:{$ip}", 
  14. "X-FORWARDED-FOR:{$ip}", ); curl_setopt($ch,CURLOPT_HTTPHEADER,$header);curl_setopt($ch, CURLOPT_RETURNTRANSFER, true) ; // 获取数据返回curl_exec($ch);curl_close($ch);</pre--><br><br><p></p><br>前部分是随机生成国内的某个ip,然后用curl模拟请求.<p></p><p>由于网站限制是一个ip限制1个小时投30个票,因此,我这里就是随机的.</p><p>如果网站是限制1个ip投1个,那么最好把ip修改为顺序生成国内ip,这样可以不重复.</p><p>然后我在开启,apache ab,每次并发20个投票..很快票就刷上去了.</p><p>那么面对这样的恶意刷票有什么解决办法呢?</p><p>我没有什么好的办法防御.但是我这样的curl实际上就是webservice访问,这样的访问是不带session或者cookie的,当然,curl也可以模拟带上cookie,然后在带上phpsessionid从而来带上session.</p><p>但是对于一个未知网站而言,并不知道他的处理方式.因此,如果判断是否存在session会有效抵挡一批刷票.但是在提示的时候切勿提示是缺少session这样的文字.最好在给session一个有效时期,这样的安全度会提高(但是如果刷票者知道这样的原理,并不意味能防御住他)</p><p>补充一点:很多代码上说能够获取访问者真实的IP地址,这个我没有遇过到正确的能够获取用户真实ip的方法.如果有的话,欢迎留言</p><p><span style="color:#ff6666">如果有什么好的防御方案,希望留言.</span></p><p><br></p><p><br></p><p>有时候如果超时可能会导致脚本中断,最好在配合一个crond来每分钟都执行一下脚本</p><p>脚本代码为:</p><p></p><pre code_snippet_id="417539" snippet_file_name="blog_20140705_2_1964408" name="code" class="plain layui-box layui-code-view layui-code-notepad"><ol class="layui-code-ol"><li>#!/bin/shpid=`ps -ef |grep localhost/vote.php |grep vote.php | awk '{print $2}'`;if [[ $pid == "" ]];then</li><li>echo "vote is start";</li><li>nohup /usr/bin/ab -n 100000 -c 20 http://localhost/vote.phpelse</li><li>echo "vote.php is running";fi</li></ol></pre><br>这个脚本就是每分钟判断这个进程存在不,存在的话,就不管,不存在的话,就启动这个进程..<p></p><p>另外可以不用使用nohup来后台执行</p><p>在开启crond每分钟跑起来</p><p></p><pre code_snippet_id="417539" snippet_file_name="blog_20140705_3_4789090" name="code" class="plain layui-box layui-code-view layui-code-notepad"><ol class="layui-code-ol"><li>crontab -e</li></ol></pre><br>编辑crond任务<p></p><p></p><pre code_snippet_id="417539" snippet_file_name="blog_20140705_4_5454181" name="code" class="plain layui-box layui-code-view layui-code-notepad"><ol class="layui-code-ol"><li>* * * * * /www/web/default/Controller/Script/vote.sh</li></ol></pre><p><br></p><p>前5个*号就是代表每个分钟都执行这个脚本..如果不详,请查阅cron资料</p><p>在开启cron</p><p></p><pre code_snippet_id="417539" snippet_file_name="blog_20140705_5_8877784" name="code" class="plain layui-box layui-code-view layui-code-notepad"><ol class="layui-code-ol"><li>service crond start</li></ol></pre><br><p></p><p>大工告成,安心让他自动刷吧.你可以去忙别的事了</p><p><br></p><p>Windows系统请自行计划任务,我这里就不帖代码了</p>

人气教程排行

本站所有资源全部来源于网络,若本站发布的内容侵害到您的隐私或者利益,请联系我们删除!