阿里巴巴刷月饼用的到底是什么代码?

2016-09-13 22:30:39 +08:00
 hoythan

https://www.zhihu.com/question/50600301

作为从事安全的,我看到这种秒杀都会习惯性的想去试试手,周边还有同事怂恿我去搞搞。就写了几行代码,为了不造成太大影响,我设置了循环次数为 3 (后来又改成了 2 ,但是忘了把新代码粘贴到 chrome 的 console 中),到点就抢了 3 个订单。(这系统服务端没验证 csrf token ,还能绕过图形验证码提交)

我想知道这是什么样的代码,以便日后工作牢记于心.

6898 次点击
所在节点    程序员
45 条回复
Balthild
2016-09-15 00:35:21 +08:00
@azh7138m 其实意思大概是 form token 吧
azh7138m
2016-09-15 08:18:50 +08:00
@Balthild 我不是搞这一行的,请问这个 form token 是怎么用的?如何防止大量提交的?
ragnaroks
2016-09-16 22:09:53 +08:00
@azh7138m formhash 防止重复提交吧
crystone
2016-09-17 10:08:12 +08:00
典型的黑客作风啊,遇到有难题就想去试一下,结果遇到 ali ,杯具了
lihua1358
2016-09-19 14:59:55 +08:00
@azh7138m 不是,我就是复制原文的说法,可能是楼下说的那个吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/306042

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX