中关村在线伪造的下载地址分析
事情的起因是我偶然刷了一下页面,发现整个下载点的忙碌情况全变了
刷新前:
刷新后:
这变化课真够大,我稍微看了一下2个下载链接:
http://xiazai.zol.com.cn/down.php?softid=373274&subcatid=22&site=10c&server=10c0
http://xiazai.zol.com.cn/down.php?softid=373274&subcatid=22&site=10&server=101
就换了一个argument,完全是同一台服务器同一个页面(我估计也是同一个文件)……这忽悠一下外行人还行,咱程序员可不是那么好骗的
怀着不求甚解的态度,我又去查了一下它的页面生成代码:
var stat_arr=new Array('吉林网通下载','山西网通下载','河南网通下载','长春网通下载', '菏泽网通下载','承天网通下载','丽水网通下载','绵阳网通下载','茂名网通下载','大庆网通下载','昆明网通下载','天津网通下载' ); var pic_arr = new Array('a12.gif','a11.gif','a12.gif','a10.gif','a11.gif'); for (var i in stat_arr) { var num = Math.ceil(Math.random()*4); if(i%6==0){ document.write('</ul><ul>'); } if(i%2==0){ document.write('<li><img src="http://icon.zol-img.com.cn/soft/soft_new/'+ pic_arr[num]+'" /><a hr');document.write('ef="'+'/down.php?softid=373274&subcatid=22&site=10c&server=10c'+ i+'" nofollow>'+stat_arr[i]+'</a></li>'); }else{ document.write('<li><img src="http://icon.zol-img.com.cn/soft/soft_new/'+ pic_arr[num]+'" /><a hr');document.write('ef="'+'/down.php?softid=373274&subcatid=22&site=10&server=10'+i+ '" nofollow>'+stat_arr[i]+'</a></li>'); } }
好吧,随机生成图片+固定格式的伪造地址……这技术含量还可以再低点儿么,至少也给我配置一下dns服务器啊!!!