WooYun.org

今天乌云被Struts2刷屏了，在此先向各位大牛表示祝贺以及崇敬。我还是报个正常点的吧，这个刷票是不是不能算漏洞呢？
事情起源于某同学的摄影作品上榜了让我帮助投个票，链接如下：
http://oopka.com/forum.php?mod=viewthread&tid=1714
和大多数投票系统一样，要注册登录之后才能投票，或者也可以使用企鹅/从/微博帐号登录投票。
果断按注册，先弄一个帐号投一票试试～先是邮箱验证：

然后填写用户名密码，完成注册。

之后按正规流程投票，一切顺利～

投过票后页面提示已经无法再投票，删除cookie重新登录后也一样，看来这个新注册的帐号已经没价值了……

接下来的思路就很简单了：重复注册、投票，理论上就可以无限刷票了～写个程序自动执行的话貌似也没太大难度。。。
本以为这个故事就这么迅速地结束了，但接下来的一个发现证明了我的如意算盘打得太早了些。。。。
在顺利投出3票之后，网站居然给出了这么个提示：

不让注册了！！！
第一个思路就是不断换IP注册。可是学校的校园网给的是静态IP，虽说手上有整栋宿舍楼上网的帐号密码以及IP对应信息，但一个个设置过来还是太麻烦了。。。
第二个思路就是用代理服务器。随手试了几个代理，有的可行，有的还是提示IP限制。试了十来个代理，能用的不能用的几乎各半吧。这样下去虽说比前一个思路可行性高且方便，但貌似还是有些麻烦，而且每次换个代理发现不能投票还是挺打击积极性的- -
投票的总人数只有这么一点，为什么有这么多代理不能用呢？突然我想到X-Forwarded-For这个神奇的HTTP头（真的是突然想到的T_T）～如果网站是根据X-Forwarded-For来判断来源IP的话，可以解释上面思路二里面有的代理能用有的代理不能用的情况了。验证了一下，能用的都是匿名代理，而显示IP错误的全是透明代理。因此站点靠X-Forwarded-For判断来源的可能性相当大了～
赶紧继续实验。还是注册，用burp抓包，添加一个X-Forwarded-For头，指向一个随便打的IP地址，发送：

熟悉的提示回来啦，注册成功～

接下来去投票～同样是很顺利～

又手工注册投票了20多次，均成功。
至此，派卡网的这个注册IP限制成功被绕过，投票可以说完全没意义了，比的就是谁注册得快投得快了。写个程序去跑的话，不知道一晚上能有多少票，欢迎各位大牛自行估算～