艺术考级,想必很多家长都经历过。中央音乐学院据说认可度是最高的,因此,每年考级都是人山人海。我家孩子也是其中一员,今天到家,听媳妇说钢琴考级成绩下来了,但在单位查询总提示密码不对,那就赶紧上网查吧。奇葩的事情随之而来,经过各种折腾,发现帐号被篡改,而且其中含有特殊字符,登录时前端校验无法通过。那要如何登录网站查询成绩呢?且听慢慢道来。就算考级与你无关,也可以了解一下网络安全的重要性。
打开中央音乐学院考级官网,登录总是提醒我用户名密码错误。
如图1,仔细核对帐号(libalabala,非真实帐号)、密码、验证码,确保万无一失,点击“立即登录”按钮,看到的还是这个提示框,剩余重试机会减少为3次,再继续估计帐号就要被锁定。难道是密码被修改,记错了吗?点击登录按钮旁边的找回帐号、密码,来到如图2所示页面。
这下可以找回密码了吧,按提示操作,在图2页面点击“找回密码”,这下可以真的找回密码了。
如图3,输入帐号,点击下一步,我惊呆了,提示帐号不存在。啊!这什么情况呀。重试了多次还是提示帐号不存在。对了,图2不是有找回帐号,那我试试看吧。
如图4,填写信息后点击确定,网站发送了一封邮件到注册邮箱(很奇怪为什么不支持邮箱作为帐号登录),匆忙打开邮箱,发现帐号竟然不是之前使用的libalabala,莫名其妙帐号就被篡改了,行走网络江湖数十年,首次相遇,不胜感慨,以图5为证。
为了个人隐私,屏蔽了部分信息,这个帐号后面明显是一个手机号码,而且绝对不是我和家人使用的号码。
这下有帐号信息就好办了,有了之前的碰壁经验,索性根据帐号信息把密码也修改了。再次回到登录页面(图6)。
输入登录帐号回车后,发现给出了错误提示,这个信息并不准确,多次验证后确定是页面脚本加了校验,帐号信息不允许有“*”出现,怎么登录呢?身为码农,决心试试看,只要服务端没有这个验证就肯定可以登录成功。于是“ctrl+shif+i”快捷键打开chrome浏览器的“检查”功能,对登录部分的html代码查看一番(图7)。在通过“Network”,随意填写一些登录信息,点击“立即登录”,在“Network”的“XHR”中可以验证这个请求的相关信息。
如图7,确定了这个请求的相关参数和请求方式,接下来在“Console”中贴上一段代码,使用了Jquery,因为在查看代码时发现网站使用了这个库,一定要注意,验证码必须和左边图片中显示的相同,具体见图8(左边登录表单的输入信息可以无视)。
代码输入完毕后回车,奇迹出现了(图9)。
服务端返回登录成功,而且还有系统登录成功后的跳转页面,这时是异步请求,页面还停留在登录页面。在chrome地址栏中手动输入“http://kjwyh.ccom.edu.cn/index.php/index.html”,真正见证奇迹的时刻到了,系统显示了用户信息,点击查看个人信息一切正常,这下真的能够查看成绩了,如同预期顺利通过,祝贺小宝。(图10)。
帐号对于网站来说,就如同人的身份证,信息怎么会被篡改,是被黑客攻击了,还是其他原因,不得而知。不得不吐槽,中央音乐学院考级每年带去多少收入,真心应该在考级官网上多下点儿功夫,为广大考生提供更好的用户体验。 最后,提醒大家,移动互联网时代,信息安全很重要。
