这是俺sohu博客发表新文章后的最近访客列表。
打开第一、二、叁、以及最后一个访客,均无法打开。链接地址并非真实的sohu博客地址。
显然是作假了。
怎么做呢?没有分析数据包。猜测一下。
每个blog地址都有一个最近访客列表。当有用户访问博客地址A时,首先检查该用户是否也为sohu博客(根据session,以及cookie),若为sohu博客B,则将该博客地址B加入A(或者替换)的最近访客列表。
若想在blog地址上加入假冒的最近访问地址,session好像是无法伪造的,能伪造的只有靠cookie。向服务器发送一个伪造的请求数据包,里面包含伪造的博客地址B,以及请求访问的博客地址A。服务器接收后,分析cookie,将地址B加入A的访问链接。
只是猜测而已。
