最近,朋友的公司培训频道要上在线视频功能,说自己找了一些行业解决方案,最后对比使用视频托管的方式比较省事(说白了就是省钱呗)。 挑来挑去,觉得感觉保利威视这家托管服务商的视频播放效果较好,并且功能相对多,比较符合当前项目需求。 他在网站上注册的账号,可惜测试版只有7天有效期,公司那帮技术整天忙来不及测又过期了,联系保利威视客服死缠烂打终于再延期了两周。。。(看起来客服还不错)

无聊中,想测试下,我发现了他们一个延期漏洞,不用找他们客服,我自己也可以做延期。。。

当时都震惊了,淡定,事情经过是这样子的:我想看看他们后台框架用什么做的,用浏览器查看源码,发现里面有个函数叫extendExpiredDate,会点英文的人都知道这是延长时间的函数。貌似他们是用jquery调用一个接口的。

wps_clip_image-5097

我拷贝里面的链接到地址栏,回车。

我在刷新下首页,剩余时间变成了20天。。。好像成功了。

wps_clip_image-17945

wps_clip_image-25921

再试试把days参数改为500,回车

http://v.polyv.net/uc/packageService/extendExpiredDate?userId=1ca3ccf362&packageId=36&days=500&ts=1382064905085&sign=b17efb0016b0d6a8ad40b15cf7ea5766

wps_clip_image-22740

看来是不能加那么长时间;)

改为300试试:

http://v.polyv.net/uc/packageService/extendExpiredDate?userId=1ca3ccf362&packageId=36&days=300&ts=1382064905085&sign=b17efb0016b0d6a8ad40b15cf7ea5766

wps_clip_image-29800

被拒了。。好像对参数有检测。好吧,看来一次只能加14天。。那就还是刷原来的链接,猛刷十几次,再看首页

wps_clip_image-17012

帅吧,小伙伴都惊呆了,580天试用期,妈妈再也不用担心我账号的测试过期了^_^

建议:

1、对于期限校验,应当是前后台均进行

2、加强安全编码技能