V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3512 days ago, the information mentioned may be changed or developed.
https://www.zhihu.com/question/50600301
作为从事安全的,我看到这种秒杀都会习惯性的想去试试手,周边还有同事怂恿我去搞搞。就写了几行代码,为了不造成太大影响,我设置了循环次数为 3 (后来又改成了 2 ,但是忘了把新代码粘贴到 chrome 的 console 中),到点就抢了 3 个订单。(这系统服务端没验证 csrf token ,还能绕过图形验证码提交)
我想知道这是什么样的代码,以便日后工作牢记于心.
 |
1
shiji Sep 13, 2016
看样子 js 就够了吧
|
 |
2
ju5t4fun Sep 13, 2016
“但是忘了把新代码粘贴到 chrome 的 console 中”,看到这句话就应该知道是 js 了
|
 |
3
mozutaba Sep 13, 2016
谁敢放出来, hr 又该开人了。
|
 |
5
hoythan OP 拿上万工资的人,怎么可能做出这么 low 的程序
|
 |
6
zhy0216 Sep 13, 2016
当事人的心态挺好的啊
|
 |
7
v1024 Sep 13, 2016 via iPhone
放 GitHub ,分分钟几千 star
|
 |
8
ahcat Sep 14, 2016 via iPhone
“处理下验证码” 几个字就带过了。
这里很关键:有没有利用公司的验证码算法或接口? |
 |
11
Chyroc Sep 14, 2016
看知乎,就是看 js 模拟页面点击
|
 |
12
lianxiaoyi Sep 14, 2016 via Android
都用我大触动精灵吧!只要你手机够好,一秒钟点 40 下都不成问题!接入打码平台,秒秒钟破解任何验证码!
|
 |
13
iTakeo Sep 14, 2016 via iPhone
应该就是弄个定时器去不停点击吧,更去年的双 11 ,利用 js 去领取优惠券一样的
|
|
14
hoythan OP 或者验证码没有后台验证,可以直接绕过的那种?
|
 |
15
wizardforcel Sep 14, 2016
还以为是漏洞,原来不是。。
|
 |
16
humor66 Sep 14, 2016
@hoythan 如果你觉得很 low 的话, 很多抢票、抽奖活动,你去试试,看能不能提高自己的概率。 ^_^ 就算有验证码,自动化 也比手动交互式输入快不知道多少倍了, 而且有时候为了制造一些噱头,通常会允许别人无限刷次数,不会去限制频次的,何况是内部抽奖平台呢。
|
 |
17
sunny00123 Sep 14, 2016  2
只要不是特别花的验证码图片,上 https://github.com/antimatter15/ocrad.js/就够了啊,也就几行代码的事儿。
|
|
18
hoythan OP @sunny00123 star 下,哈哈下次做验证码用这个测试下能不能过,能过就继续加强.
|
 |
19
lxy Sep 14, 2016 1
有些网站 token 没设置过期状态,于是同一个验证码可以一直提交,只要输入一次就够了。
|
 |
20
zonghua Sep 14, 2016
@sunny00123 比本地的一些 OCR 差好多,只能识别很端正的字符
|
 |
21
williamx Sep 14, 2016
老大写的代码你们也敢刷?
|
|
22
sunny00123 Sep 14, 2016
@zonghua 嘛确实,比如 s 和 5 , b 和 6 。不过嘛多试几次还是能过的啊,用起来也简单。反正我也是拿来做自动刷东西的脚本的,逃~
|
 |
23
sunhk25 Sep 14, 2016
据说验证码是又 js 生成来验证的 所以就好处理啦
|
 |
24
jpyl0423 Sep 14, 2016
很简单的网页啊, 验证码都是明文数字传输, 传到外面变成攻击漏洞了...
|
 |
25
qweweretrt515 Sep 14, 2016
验证码在源码里就可以找到,不是图片
|
 |
26
j3n5en Sep 14, 2016 via Android
忘了在哪里看到说,验证码是能在字符串,在源码里的🌚
|
 |
27
luluuulu4848 Sep 14, 2016
其实 公司内部的抢单成功 前台没刷新页面 导致一直调用下单了,循环次数也没做限制,前台没做限制 服务端也没有限制比如说一个用户最多能买多少盒月饼来着这样,一个比较简陋的程序罢了
|
 |
28
VYSE Sep 14, 2016 via Android
没限制住购买次数大洞啊
|
 |
29
archxm Sep 14, 2016
如果是 js ,我想知道是放在哪里执行的?
打开网页不是浏览器吗?浏览器哪里执行自己写的 js ? |
 |
30
itjesse Sep 14, 2016
知乎之前说过了,验证码直接写在了页面里,大概就是一个 setInterval 然后到时间就触发按钮的 Click 事件。
|
 |
32
annielong Sep 14, 2016
click 事件而已,以前抢红包的时候就用过,结果第二天就加了每天抢红包的次数限制,这个事件对个人表示同情,但整件事来说处理得当,
|
 |
33
megatron Sep 14, 2016
正常秒到一个就跳转了,当事人说那个页面没有跳转。估计也就是看到按钮可以秒了,就点一下,几行字而已。
|
|
34
megatron Sep 14, 2016
我突然想到一个问题,借贵主题谈谈。如果当事人当时的理由是“提交安全漏洞”,或者说明购买页面相关的功能问题,这件事会不会有转机?毕竟不能跳转,验证码等等这类问题是存在的。
|
 |
37
zhchaos Sep 14, 2016
js 模拟点击吧,再加点验证什么的
|
 |
38
x86 Sep 14, 2016
讲道理,这难道不是开发的锅
|
|
39
zonghua Sep 14, 2016
@sunny00123 是浏览器差异吗?我是 Chrome + Windows 10 很多时候都把 s 识别成 _
|
 |
44
crystone Sep 17, 2016
典型的黑客作风啊,遇到有难题就想去试一下,结果遇到 ali ,杯具了
|
Select Language