阿里巴巴刷月饼用的到底是什么代码?

2016-09-13 22:30:39 +08:00
 hoythan

https://www.zhihu.com/question/50600301

作为从事安全的,我看到这种秒杀都会习惯性的想去试试手,周边还有同事怂恿我去搞搞。就写了几行代码,为了不造成太大影响,我设置了循环次数为 3 (后来又改成了 2 ,但是忘了把新代码粘贴到 chrome 的 console 中),到点就抢了 3 个订单。(这系统服务端没验证 csrf token ,还能绕过图形验证码提交)

我想知道这是什么样的代码,以便日后工作牢记于心.

6751 次点击
所在节点    程序员
45 条回复
shiji
2016-09-13 22:36:36 +08:00
看样子 js 就够了吧
ju5t4fun
2016-09-13 22:40:23 +08:00
“但是忘了把新代码粘贴到 chrome 的 console 中”,看到这句话就应该知道是 js 了
mozutaba
2016-09-13 22:40:41 +08:00
谁敢放出来, hr 又该开人了。
hoythan
2016-09-13 22:46:21 +08:00
@ju5t4fun 难道只是简单的模拟点击或者 post get 提交?
hoythan
2016-09-13 22:47:07 +08:00
拿上万工资的人,怎么可能做出这么 low 的程序
zhy0216
2016-09-13 22:47:42 +08:00
当事人的心态挺好的啊
v1024
2016-09-13 23:15:12 +08:00
放 GitHub ,分分钟几千 star
ahcat
2016-09-14 01:31:23 +08:00
“处理下验证码” 几个字就带过了。

这里很关键:有没有利用公司的验证码算法或接口?
wjm2038
2016-09-14 03:18:34 +08:00
@ahcat 据说验证码是写死的。。。
shiji
2016-09-14 03:42:30 +08:00
@ahcat 听说验证码是字符。。。不是图片。。。。
Chyroc
2016-09-14 06:00:54 +08:00
看知乎,就是看 js 模拟页面点击
lianxiaoyi
2016-09-14 07:19:58 +08:00
都用我大触动精灵吧!只要你手机够好,一秒钟点 40 下都不成问题!接入打码平台,秒秒钟破解任何验证码!
iTakeo
2016-09-14 07:36:30 +08:00
应该就是弄个定时器去不停点击吧,更去年的双 11 ,利用 js 去领取优惠券一样的
hoythan
2016-09-14 08:10:11 +08:00
或者验证码没有后台验证,可以直接绕过的那种?
wizardforcel
2016-09-14 08:15:29 +08:00
还以为是漏洞,原来不是。。
humor66
2016-09-14 09:01:53 +08:00
@hoythan 如果你觉得很 low 的话, 很多抢票、抽奖活动,你去试试,看能不能提高自己的概率。 ^_^ 就算有验证码,自动化 也比手动交互式输入快不知道多少倍了, 而且有时候为了制造一些噱头,通常会允许别人无限刷次数,不会去限制频次的,何况是内部抽奖平台呢。
sunny00123
2016-09-14 09:06:38 +08:00
只要不是特别花的验证码图片,上 https://github.com/antimatter15/ocrad.js/就够了啊,也就几行代码的事儿。
hoythan
2016-09-14 09:14:01 +08:00
@sunny00123 star 下,哈哈下次做验证码用这个测试下能不能过,能过就继续加强.
lxy
2016-09-14 09:25:24 +08:00
有些网站 token 没设置过期状态,于是同一个验证码可以一直提交,只要输入一次就够了。
zonghua
2016-09-14 09:41:24 +08:00
@sunny00123 比本地的一些 OCR 差好多,只能识别很端正的字符

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/306042

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX