网络推荐时常见的作弊手段

   网络推荐是现在很多人都会参与的推荐方式，无论是为了自己的偶像还是为了某些奖品。但是很多网络推荐是有限制的，比如一个人只能投一次票，这让人们感觉到非常的麻烦，而为了能多投几次票，作弊可是少不了。如果你也希望能够作弊，那么可以看看一品威客网小编讲解的网络推荐时常见的作弊手段知识。
   1)伪造身份证号码。一般来说，重大的网络推荐一般都需要推荐者填写表单时提交合法的身份证号码才能进行推荐，并以身份证号码来作为甄别是否重复推荐的依据。但互联网上的网络推荐一般不可能跟公安系统的身份证数据库进行对接，因此，推荐处理程序只能从逻辑上根据客户端提交的身份证号码进行算法有效性的校验，只要客户端提交的身份证号码通过算法校验，推荐程序就认为这是一个合法的身份号，并且推荐记录数据库里没有该身份证号码的推荐记录就允许其进行推荐。因此，如果推荐处理程序只做了身份证号码算法合法性的校验，那么作弊者就能对该推荐程序进行任意攻击和作弊“增票”。

   2)突破IP地址推荐数限制。为了防止作弊者不断的进行作弊“增票”，推荐处理程序往往对同一个IP地址在特定时间段内的推荐总数做了限制。服务器端对客户端IP地址一般回采用两种方式，一种是通过HTTP会话的REMOTE_ADDR获取跟服务器通信的客户端IP地址，如果推荐程序通过这种方式获取客户端IP并对每IP在某一时段内的推荐总数做了限制，作弊者必须拥有相当数量的公网真实IP资源才能对推荐程序发起影响结果的攻击。另一种是先通过HTTP头的X_FORWARDED_FOR字段来获取通过代理服务器访问推荐服务器的客户端真实IP，但是否可以获取客户端真实IP取决于代理服务器是否允许服务器端获取客户端的真实IP，同时如果客户端不通过代理服务器访问推荐服务器，推荐服务器同样获取不了客户端的IP。一般来说，web程序开发人员为了更加准确地获取客户端的IP地址往往会先试图去获取X_FORWARDED_FOR的值，获取失败后再去获取跟服务器直接通信的主机IP，代码如下：

   Asp代码段：

   Dim clientIp

   clientIp = trim(request.ServerVariables("HTTP_X_FORWARDED_FOR"))

   if clientIp = "" o r  clientIp = "unknown" then

   clientIp = request.ServerVariables("REMOTE_ADDR")

   end if

   jsp代码段：

   String clientIp = request.getHeader("x-forwarded-for");

   if(clientIp == null || clientIp.length() == 0 || "unknown".equalsIgnoreCase(clientIp)) {

   clientIp = request.getRemoteAddr();

   }

   由于X_FORWARDED_FOR是通过客户端提交的HTTP头来获取，而客户端的HTTP头的数据可以在提交前进行任意修改，因此，web程序开发人员想通过尽可能穿透代理服务器获取客户端真实IP地址的美好愿望给推荐作弊者敞口了大门，客户端通过修改每次提交的HTTP头里的X_FORWARDED_FOR字段值就能成功突破IP推荐数限制进行任意推荐。

   3)识别破解图片认证码

   为了解决HTTP协议的无状态性给Web应用程序带来的问题，产生了两种用于保持HTTP连接状态的技术，一个是Cookie，而另一个则是Session。由于Cookie值存储在客户端的硬盘上，同样存在着跟HTTP头一样被修改的危险，因此，数据保存在服务器端的Session技术则显得更加安全可靠。网络推荐程序为了防止客户端利用特定软件通过重复提交推荐表单信息来进行作弊，往往使用了图片验证码技术，在服务端生成图片验证码信息并通过Session来对客户端输入进行认证，理论上，只要验证码信息不被客户端作弊程序破解，客户端就无法实施大规模的批量增票作弊行为，从而保证推荐的安全可靠。

   图片验证码技术的实施，提高了网络推荐作弊的技术门槛，在一定程度上保证了推荐的安全。同时，推荐验证码实施技术的复杂性也对Web开发人员提出了更高的技术要求。目前，基于图片验证码生成技术的难度限制，绝大部分网站都使用了阿拉伯数字和英文字母的图片验证码，并且生成的图片上的干扰线和噪点并不多。针对数字和英文字母的破解算法很容易获取并且破解准确率比较高，其攻击原理如下：

   ① 先分析目标验证码图片的验证码类型(数字、字母或组合型等)、验证码位数、字符位移范围、字符旋转范围、干扰线及噪点、前景色、背景色、图片的大小等。

   ② 根据验证码类型确定相应的破解字符范围及各字符图片独特的象素值。

   ③ 根据图片的前景色、背景色、干扰线及噪点情况去除图片的干扰线、噪点及背景色。

   ④ 根据验证码位数、字符位移范围、字符旋转范围对图片进行字符截取。

   ⑤ 将截取的字符图片跟预先确定的破解字符范围内的字符图片进行象素匹配，匹配象素命中最高的字符就是验证码字符。

   文章中介绍的都是网络推荐时常见的作弊方法，如果有需要建议可以尝试运用这些方法来作弊推荐。一品威客网上有很多公司或个人发布有 网络推荐任务，如果你是相关的人才，可以到一品威客网上做任务赚钱。