如果你在上海,並且坐過地鐵的話,你肯定知道jjdd.com。
這個網站和百合,世紀佳緣類似,都是交朋友的性質。
在jjdd.com中有個很重要的功能:如果你上傳的照片比你想看的人少的話,你是不能看她的照片的。
例如如果你登錄了,並且點擊”個人形象照的話”
一般人碰到這里,就會自然而然的有兩種選擇:
1:算了,不看了。
2:那我就多上傳幾張照片,從而可以看別人的照片。
如果你打算選擇2的話,提醒你的是jjdd的照片是需要審核的。
故事到此先告一段落。
打開http://www.jjdd.com/.可以看到。
首頁有很多的頭像,任意點擊頭像,就可以查看到詳細:
在這個頁面點擊“個人形象照”。神奇的事情發生了,你竟然可以看別人的照片。
針對這個問題,我起初認為可能是業務要求,即:首頁上的用戶可以被用戶查看照片。
可是這個不成立啊,因為首頁上的用戶是隨機出現的。
深入探究:
為了知道這個問題的答案,我找到了“個人形象照”的點擊按鈕事件:
<a onclick="show_nophoto_tips('/home/new_photo/?uid=32780655&gid=1265988&pid=1778845','她','','32780655','0')" style="position: relative;z-index:1;"><img src="http://img1.jjdd.com/c80/66/1e/661ee43b3be914627a39087bc7aec767.jpg" title="點擊查看大圖" class="face_s2_b2"></a>
細心的你看到這個show_nophoto_tips里面的'/home/new_photo/?uid=32780655&gid=1265988&pid=1778845'。你認為這個是什么東東呢?
沒錯,這就是我們要看的mm的照片地址。完整的地址是:
http://www.jjdd.com/home/new_photo/?uid=32780655&gid=1265988&pid=1778845
打開這個地址,你會看到神奇的東西。
沒錯,這就是jjdd.com 的程序員 為屌絲程序員准備的禮物,他們是故意不在打開這個頁面的時候做驗證的。他們的驗證是前台的。我沒有深入show_nophoto_tips 函數,看里面的實現,不過這個函數我認為就是獲取用戶當前照片數,接着和我們要看的人進行對比。
可惜的是:他只做了前台驗證。。
最后再啰嗦一句,如果上面的照片侵犯了您的權益,請及時通知本人,本人會真誠的道歉,並且刪除該照片的。