阿里巴巴刷月饼用的到底是什么代码?

2016-09-13 22:30:39 +08:00

hoythan

https://www.zhihu.com/question/50600301

作为从事安全的，我看到这种秒杀都会习惯性的想去试试手，周边还有同事怂恿我去搞搞。就写了几行代码，为了不造成太大影响，我设置了循环次数为 3 （后来又改成了 2 ，但是忘了把新代码粘贴到 chrome 的 console 中），到点就抢了 3 个订单。(这系统服务端没验证 csrf token ，还能绕过图形验证码提交)

我想知道这是什么样的代码,以便日后工作牢记于心.

6763 次点击

所在节点

程序员

45 条回复

williamx

2016-09-14 09:51:24 +08:00

老大写的代码你们也敢刷？

sunny00123

2016-09-14 09:59:36 +08:00

@zonghua 嘛确实，比如 s 和 5 ， b 和 6 。不过嘛多试几次还是能过的啊，用起来也简单。反正我也是拿来做自动刷东西的脚本的，逃~

sunhk25

2016-09-14 10:03:02 +08:00

据说验证码是又 js 生成来验证的所以就好处理啦

jpyl0423

2016-09-14 10:08:37 +08:00

很简单的网页啊, 验证码都是明文数字传输, 传到外面变成攻击漏洞了...

qweweretrt515

2016-09-14 10:56:22 +08:00

验证码在源码里就可以找到，不是图片

j3n5en

2016-09-14 10:59:11 +08:00

忘了在哪里看到说，验证码是能在字符串，在源码里的🌚

luluuulu4848

2016-09-14 11:13:44 +08:00

其实公司内部的抢单成功前台没刷新页面导致一直调用下单了，循环次数也没做限制，前台没做限制服务端也没有限制比如说一个用户最多能买多少盒月饼来着这样，一个比较简陋的程序罢了

VYSE

2016-09-14 11:48:29 +08:00

没限制住购买次数大洞啊

archxm

2016-09-14 12:01:41 +08:00

如果是 js ，我想知道是放在哪里执行的？
打开网页不是浏览器吗？浏览器哪里执行自己写的 js ？

itjesse

2016-09-14 12:02:43 +08:00

知乎之前说过了，验证码直接写在了页面里，大概就是一个 setInterval 然后到时间就触发按钮的 Click 事件。

mzsongyan

2016-09-14 12:06:34 +08:00

@archxm console

annielong

2016-09-14 12:07:00 +08:00

click 事件而已，以前抢红包的时候就用过，结果第二天就加了每天抢红包的次数限制，这个事件对个人表示同情，但整件事来说处理得当，

megatron

2016-09-14 12:12:16 +08:00

正常秒到一个就跳转了，当事人说那个页面没有跳转。估计也就是看到按钮可以秒了，就点一下，几行字而已。

megatron

2016-09-14 12:22:22 +08:00

我突然想到一个问题，借贵主题谈谈。如果当事人当时的理由是“提交安全漏洞”，或者说明购买页面相关的功能问题，这件事会不会有转机？毕竟不能跳转，验证码等等这类问题是存在的。

wd85318

2016-09-14 14:17:03 +08:00

@megatron 上午主动上报，下午不到 2 小时让收拾东西走人，你连发声的机会都没有

lihua1358

2016-09-14 15:17:15 +08:00

@ahcat 这系统服务端没验证 csrf token ，还能绕过图形验证码提交

zhchaos

2016-09-14 17:02:04 +08:00

js 模拟点击吧，再加点验证什么的

x86

2016-09-14 17:03:23 +08:00

讲道理，这难道不是开发的锅

zonghua

2016-09-14 17:15:53 +08:00

@sunny00123 是浏览器差异吗？我是 Chrome + Windows 10 很多时候都把 s 识别成 _

azh7138m

2016-09-14 21:59:37 +08:00

@lihua1358 哪里跨站了...
而且也没有第三者，和 csrf 有啥关系

第 2 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/306042

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.