阿里巴巴刷月饼用的到底是什么代码?

2016 年 9 月 13 日

hoythan

https://www.zhihu.com/question/50600301

作为从事安全的，我看到这种秒杀都会习惯性的想去试试手，周边还有同事怂恿我去搞搞。就写了几行代码，为了不造成太大影响，我设置了循环次数为 3 （后来又改成了 2 ，但是忘了把新代码粘贴到 chrome 的 console 中），到点就抢了 3 个订单。(这系统服务端没验证 csrf token ，还能绕过图形验证码提交)

我想知道这是什么样的代码,以便日后工作牢记于心.

7782 次点击

所在节点

程序员

45 条回复

shiji

2016 年 9 月 13 日

看样子 js 就够了吧

ju5t4fun

2016 年 9 月 13 日

“但是忘了把新代码粘贴到 chrome 的 console 中”，看到这句话就应该知道是 js 了

mozutaba

2016 年 9 月 13 日

谁敢放出来， hr 又该开人了。

hoythan

2016 年 9 月 13 日

@ju5t4fun 难道只是简单的模拟点击或者 post get 提交?

hoythan

2016 年 9 月 13 日

拿上万工资的人,怎么可能做出这么 low 的程序

zhy0216

2016 年 9 月 13 日

当事人的心态挺好的啊

v1024

2016 年 9 月 13 日

放 GitHub ，分分钟几千 star

ahcat

2016 年 9 月 14 日

“处理下验证码” 几个字就带过了。

这里很关键：有没有利用公司的验证码算法或接口？

wjm2038

2016 年 9 月 14 日

@ahcat 据说验证码是写死的。。。

shiji

2016 年 9 月 14 日

@ahcat 听说验证码是字符。。。不是图片。。。。

Chyroc

2016 年 9 月 14 日

看知乎，就是看 js 模拟页面点击

lianxiaoyi

2016 年 9 月 14 日

都用我大触动精灵吧！只要你手机够好，一秒钟点 40 下都不成问题！接入打码平台，秒秒钟破解任何验证码！

iTakeo

2016 年 9 月 14 日

应该就是弄个定时器去不停点击吧，更去年的双 11 ，利用 js 去领取优惠券一样的

hoythan

2016 年 9 月 14 日

或者验证码没有后台验证，可以直接绕过的那种？

wizardforcel

2016 年 9 月 14 日

还以为是漏洞，原来不是。。

humor66

2016 年 9 月 14 日

@hoythan 如果你觉得很 low 的话，很多抢票、抽奖活动，你去试试，看能不能提高自己的概率。 ^_^ 就算有验证码，自动化也比手动交互式输入快不知道多少倍了，而且有时候为了制造一些噱头，通常会允许别人无限刷次数，不会去限制频次的，何况是内部抽奖平台呢。

sunny00123

2016 年 9 月 14 日

只要不是特别花的验证码图片，上 https://github.com/antimatter15/ocrad.js/就够了啊，也就几行代码的事儿。

hoythan

2016 年 9 月 14 日

@sunny00123 star 下,哈哈下次做验证码用这个测试下能不能过,能过就继续加强.

lxy

2016 年 9 月 14 日

有些网站 token 没设置过期状态，于是同一个验证码可以一直提交，只要输入一次就够了。

zonghua

2016 年 9 月 14 日

@sunny00123 比本地的一些 OCR 差好多，只能识别很端正的字符

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://v2ex.xtra.eu.org/t/306042

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.