阿里巴巴刷月饼用的到底是什么代码?

2016-09-13 22:30:39 +08:00
 hoythan

https://www.zhihu.com/question/50600301

作为从事安全的,我看到这种秒杀都会习惯性的想去试试手,周边还有同事怂恿我去搞搞。就写了几行代码,为了不造成太大影响,我设置了循环次数为 3 (后来又改成了 2 ,但是忘了把新代码粘贴到 chrome 的 console 中),到点就抢了 3 个订单。(这系统服务端没验证 csrf token ,还能绕过图形验证码提交)

我想知道这是什么样的代码,以便日后工作牢记于心.

6897 次点击
所在节点    程序员
45 条回复
williamx
2016-09-14 09:51:24 +08:00
老大写的代码你们也敢刷?
sunny00123
2016-09-14 09:59:36 +08:00
@zonghua 嘛确实,比如 s 和 5 , b 和 6 。不过嘛多试几次还是能过的啊,用起来也简单。反正我也是拿来做自动刷东西的脚本的,逃~
sunhk25
2016-09-14 10:03:02 +08:00
据说验证码是又 js 生成来验证的 所以就好处理啦
jpyl0423
2016-09-14 10:08:37 +08:00
很简单的网页啊, 验证码都是明文数字传输, 传到外面变成攻击漏洞了...
qweweretrt515
2016-09-14 10:56:22 +08:00
验证码在源码里就可以找到,不是图片
j3n5en
2016-09-14 10:59:11 +08:00
忘了在哪里看到说,验证码是能在字符串,在源码里的🌚
luluuulu4848
2016-09-14 11:13:44 +08:00
其实 公司内部的抢单成功 前台没刷新页面 导致一直调用下单了,循环次数也没做限制,前台没做限制 服务端也没有限制比如说一个用户最多能买多少盒月饼来着这样,一个比较简陋的程序罢了
VYSE
2016-09-14 11:48:29 +08:00
没限制住购买次数大洞啊
archxm
2016-09-14 12:01:41 +08:00
如果是 js ,我想知道是放在哪里执行的?
打开网页不是浏览器吗?浏览器哪里执行自己写的 js ?
itjesse
2016-09-14 12:02:43 +08:00
知乎之前说过了,验证码直接写在了页面里,大概就是一个 setInterval 然后到时间就触发按钮的 Click 事件。
mzsongyan
2016-09-14 12:06:34 +08:00
@archxm console
annielong
2016-09-14 12:07:00 +08:00
click 事件而已,以前抢红包的时候就用过,结果第二天就加了每天抢红包的次数限制,这个事件对个人表示同情,但整件事来说处理得当,
megatron
2016-09-14 12:12:16 +08:00
正常秒到一个就跳转了,当事人说那个页面没有跳转。估计也就是看到按钮可以秒了,就点一下,几行字而已。
megatron
2016-09-14 12:22:22 +08:00
我突然想到一个问题,借贵主题谈谈。如果当事人当时的理由是“提交安全漏洞”,或者说明购买页面相关的功能问题,这件事会不会有转机?毕竟不能跳转,验证码等等这类问题是存在的。
wd85318
2016-09-14 14:17:03 +08:00
@megatron 上午主动上报,下午不到 2 小时让收拾东西走人,你连发声的机会都没有
lihua1358
2016-09-14 15:17:15 +08:00
@ahcat 这系统服务端没验证 csrf token ,还能绕过图形验证码提交
zhchaos
2016-09-14 17:02:04 +08:00
js 模拟点击吧,再加点验证什么的
x86
2016-09-14 17:03:23 +08:00
讲道理,这难道不是开发的锅
zonghua
2016-09-14 17:15:53 +08:00
@sunny00123 是浏览器差异吗?我是 Chrome + Windows 10 很多时候都把 s 识别成 _
azh7138m
2016-09-14 21:59:37 +08:00
@lihua1358 哪里跨站了...
而且也没有第三者,和 csrf 有啥关系

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/306042

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX