实现了整理答题卡小分的功能,选择题只标出错题,其他题目也标明总分,比心意答上那一堆勾勾叉叉的看着顺眼多了。
本来以为获取到的坐标很难转化成文档流直接定位的形式,后来发现原来 XYWH 代表坐标和大小,单位都是像素,这样只要我再乘一个图片缩放的系数就能定位了。
把成绩查询的一些冗余文字删减了。把又臭又长的代码压缩了一下,体积减了一半还多。
梳理了一下前两天嗅探心意答数据的过程,发现要是我的工具流传特别广,学校还坚决要以这个为由告我,好像还真能定一个提供侵入、非法控制计算机信息系统程序、工具罪...
提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的情节严重:
(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具5人次以上的;
(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具20人次以上的;...
——节选自《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
怎么说呢,希望学校不要告我吧...
写了个集修改 localStorage,替换 javascript,伪造老师身份于一身的用户脚本,但技术能力有限,还得要用户手动屏蔽原来的 javascript。
给图表加上了令人舒适的自适应窗口变化功能。
准备写各科的分析,现在能拿到接口数据了,还得研究怎么处理。
为了方便调试,把心意答接口的加密过程硬编码了一下,以后就可以直接从这里处理了。
这个心意答,简直就是活靶子,循循善诱地让人把他完全攻破。
它还有个合适的难度曲线,从未加密的接口里偷数据,到双向加密的接口进行解密,到伪造 cookie 和 localStorage,再到骗过虚假的 uuid 验证,每一步都能放出刺激而又吓人的新信息。
我们只能期望,不要有太多人来想着攻击这些接口,不然来一个攻破一个,到时候大家的成绩都成公开的秘密了。
我们说它蠢事做尽,还好它坏事没做到底,至少阅卷的权限还握在登陆验证手里。可是,既然会登陆验证了,其他各种东西,如每次考试的成绩单、详细的分析,这些却都完全不需要登陆验证。只要在客户端合适的位置写好老师的校园号(可以从校园邮箱里检索),再模仿网页进行加密,或是直接篡改网页的 javascript,你就得到了老师的身份,全校所有人的各种信息都暴露无遗。
它在加密上也完全没有用心,只草草加了一层 base64 和 AES,密码竟然明文放在 javascript 文件里,加密函数的名称也没有混淆。而且,这样危险的接口完全不是这么加密来的吧!理应在每个有敏感信息的接口都放上登陆验证,这才能体现出对学生隐私的重视。问题出在哪儿?问题就出在开发者犯懒。
话又说回来,要是它加上了登陆验证,我还怎么偷你们的成绩呢??也许我可以学学机房大佬,用易语言开发一个木马,然后把老师的账号密码偷过来。或者远程控制老师的电脑,用惊悚图片把老师吓跑,再趁机操作他的帐号。
今天的发现特别离谱。
心意答查询成绩的接口只经过了一层双向加密,没有丝毫验证身份的手段,并且返回的数据也多于显示的数据,结果就是只要知道考试编号、科目编号和数字校园号就能直接查到这个人,以及他的班级详尽的成绩。
更有甚者,在线学习平台直接放出了全年级所有人的姓名和数字校园号的对照表,以至于只要知道姓名就能查出成绩来。
以及,它返回信息的模式属于能返则返,也就是说我不知道科目编号,可以直接放两百个进接口里,它还自动筛选出存在的科目编号;不知道考试编号也能一个一个试出来:就算考试和校园号完全对不上,它也会返回考试名称。对我们这些阴险的窃取者来说,这简直是太方便了。
只需要知道一个姓名,你历次考试的成绩就全都查出来,这就是信息泄露的危害...
查成绩的接口,这样的安全性不能说离谱,只能说是离谱至极。
除此之外,今天还把博客通过暴力粘贴的方式搬运过来了。
实现了添加化学式的操作,往里加了几个式子,但是对删除操作的处理非常纠结,因为 MySQL 的自增主键是不受删除影响的,删除一个元素后仍然占用着这个编号。
倒也有解决办法,就是强制覆盖自增的位置,但这样很难应对在序列中间删除的情况,所以删除功能基本是不会上线了,只能由我在后台自己维护。
实现了对数据库中化学方程式的查询,虽然目前数据库里只放了两个式子,但等我实现添加功能后会往里加的。
大量运用了正则表达式(没有你我活不了啊!)。
认识到了 SQL 注入的危害,并用简陋的手段做了防护。
折腾了半天,总算把网站放到公网上了。
为了方便,我大致梳理一下,原先只是在 schtonn.github.io 和 schtonn.gitee.io 上写博客,随后把实现的几个小功能拉起来拼凑了个页面。
后来gitee停止服务了,我又想学习学习后端开发,所以目前网站在 http://43.143.233.184/,应该会保持更新,不过暂时还没有购置域名的打算。
在首页加上了黑暗模式,以及非常愚蠢的秘密消息(其实更多是对 Bootstrap 响应式布局的测试)。
进一步完善按钮样式。
把化学式配平、相对质量计算的网页实现出来了,接下来还要加上 MySQL 的上传。
为所有按钮加上了好玩的悬浮样式。这可真不容易,为了去掉浏览器自带的丑陋黑色边框,我进行了不懈的斗争,最后发现是除了 :focus 和 :active 选择器,还得写上
:focus:active 。
近日研究了 Bootstrap 框架很多不错的设计,如按钮组团等,进行了应用。
今天开始尝试在本地搭建 MySQL 数据库。希望是日后能建起一个存放中学化学式的数据库。
有了小崔给的主机,开辟了很多新领域。
不用暴力地琢磨纯静态页面了,可以开始自己开发网页后端。刚起步,先用 Node.js+Express 做后端。写了个配平化学式的接口(/chemist?H2+O2=H2O)。
用 WebSocket 可以实现服务器与客户端的即时通讯,原先搭载在 LeanCloud 上的五子棋计算部分可以迁移到本地了。
开始记录。