这是一个创建于 3372 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.zhihu.com/question/50600301
作为从事安全的,我看到这种秒杀都会习惯性的想去试试手,周边还有同事怂恿我去搞搞。就写了几行代码,为了不造成太大影响,我设置了循环次数为 3 (后来又改成了 2 ,但是忘了把新代码粘贴到 chrome 的 console 中),到点就抢了 3 个订单。(这系统服务端没验证 csrf token ,还能绕过图形验证码提交) 我想知道这是什么样的代码,以便日后工作牢记于心.
 | 1 shiji 2016-09-13 22:36:36 +08:00 看样子 js 就够了吧 |
 | 2 ju5t4fun 2016-09-13 22:40:23 +08:00 “但是忘了把新代码粘贴到 chrome 的 console 中”,看到这句话就应该知道是 js 了 |
 | 3 mozutaba 2016-09-13 22:40:41 +08:00 谁敢放出来, hr 又该开人了。 |
 | 5 hoythan OP 拿上万工资的人,怎么可能做出这么 low 的程序 |
 | 6 zhy0216 2016-09-13 22:47:42 +08:00 当事人的心态挺好的啊 |
 | 7 div class="sep3"> v1024 2016-09-13 23:15:12 +08:00 via iPhone 放 GitHub ,分分钟几千 star |
 | 8 ahcat 2016-09-14 01:31:23 +08:00 via iPhone “处理下验证码” 几个字就带过了。 这里很关键:有没有利用公司的验证码算法或接口? |
 | 11 Chyroc 2016-09-14 06:00:54 +08:00 看知乎,就是看 js 模拟页面点击 |
 | 12 lianxiaoyi 2016-09-14 07:19:58 +08:00 via Android 都用我大触动精灵吧!只要你手机够好,一秒钟点 40 下都不成问题!接入打码平台,秒秒钟破解任何验证码! |
 | 13 iTakeo 2016-09-14 07:36:30 +08:00 via iPhone 应该就是弄个定时器去不停点击吧,更去年的双 11 ,利用 js 去领取优惠券一样的 |
| 14 hoythan OP 或者验证码没有后台验证,可以直接绕过的那种? |
 | 15 wizardforcel 2016-09-14 08:15:29 +08:00 还以为是漏洞,原来不是。。 |
 | 16 humor66 2016-09-14 09:01:53 +08:00 @hoythan 如果你觉得很 low 的话, 很多抢票、抽奖活动,你去试试,看能不能提高自己的概率。 ^_^ 就算有验证码,自动化 也比手动交互式输入快不知道多少倍了, 而且有时候为了制造一些噱头,通常会允许别人无限刷次数,不会去限制频次的,何况是内部抽奖平台呢。 |
 | 17 sunny00123 2016-09-14 09:06:38 +08:00  2 只要不是特别花的验证码图片,上 https://github.com/antimatter15/ocrad.js/就够了啊,也就几行代码的事儿。 |
| 18 hoythan OP @sunny00123 star 下,哈哈下次做验证码用这个测试下能不能过,能过就继续加强. |
 | 19 lxy 2016-09-14 09:25:24 +08:00 1 有些网站 token 没设置过期状态,于是同一个验证码可以一直提交,只要输入一次就够了。 |
 | 20 zonghua 2016-09-14 09:41:24 +08:00 @sunny00123 比本地的一些 OCR 差好多,只能识别很端正的字符 |
 | 21 williamx 2016-09-14 09:51:24 +08:00 老大写的代码你们也敢刷? |
| 22 sunny00123 2016-09-14 09:59:36 +08:00 @zonghua 嘛确实,比如 s 和 5 , b 和 6 。不过嘛多试几次还是能过的啊,用起来也简单。反正我也是拿来做自动刷东西的脚本的,逃~ |
 | 23 sunhk25 2016-09-14 10:03:02 +08:00 据说验证码是又 js 生成来验证的 所以就好处理啦 |
 | 24 jpyl0423 2016-09-14 10:08:37 +08:00 很简单的网页啊, 验证码都是明文数字传输, 传到外面变成攻击漏洞了... |
 | 25 qweweretrt515 2016-09-14 10:56:22 +08:00 验证码在源码里就可以找到,不是图片 |
 | 26 j3n5en 2016-09-14 10:59:11 +08:00 via Android 忘了在哪里看到说,验证码是能在字符串,在源码里的 |
 | 27 luluuulu4848 2016-09-14 11:13:44 +08:00 其实 公司内部的抢单成功 前台没刷新页面 导致一直调用下单了,循环次数也没做限制,前台没做限制 服务端也没有限制比如说一个用户最多能买多少盒月饼来着这样,一个比较简陋的程序罢了 |
 | 28 VYSE 2016-09-14 11:48:29 +08:00 via Android 没限制住购买次数大洞啊 |
 | 29 archxm 2016-09-14 12:01:41 +08:00 如果是 js ,我想知道是放在哪里执行的? 打开网页不是浏览器吗?浏览器哪里执行自己写的 js ? |
 | 30 itjesse 2016-09-14 12:02:43 +08:00 知乎之前说过了,验证码直接写在了页面里,大概就是一个 setInterval 然后到时间就触发按钮的 Click 事件。 |
 | 32 annielong 2016-09-14 12:07:00 +08:00 click 事件而已,以前抢红包的时候就用过,结果第二天就加了每天抢红包的次数限制,这个事件对个人表示同情,但整件事来说处理得当, |
 | 33 megatron 2016-09-14 12:12:16 +08:00 正常秒到一个就跳转了,当事人说那个页面没有跳转。估计也就是看到按钮可以秒了,就点一下,几行字而已。 |
| 34 megatron 2016-09-14 12:22:22 +08:00 我突然想到一个问题,借贵主题谈谈。如果当事人当时的理由是“提交安全漏洞”,或者说明购买页面相关的功能问题,这件事会不会有转机?毕竟不能跳转,验证码等等这类问题是存在的。 |
 | 37 zhchaos 2016-09-14 17:02:04 +08:00 js 模拟点击吧,再加点验证什么的 |
 | 38 x86 2016-09-14 17:03:23 +08:00 讲道理,这难道不是开发的锅 |
| 39 zonghua 2016-09-14 17:15:53 +08:00 @sunny00123 是浏览器差异吗?我是 Chrome + Windows 10 很多时候都把 s 识别成 _ |
 | 42 azh7138m 2016-09-15 08:18:50 +08:00 via Android @Balthild 我不是搞这一行的,请问这个 form token 是怎么用的?如何防止大量提交的? |
 | 44 crystone 2016-09-17 10:08:12 +08:00 典型的黑客作风啊,遇到有难题就想去试一下,结果遇到 ali ,杯具了 |
Select Language