题目就起大了,只是读了两篇文章,实际上基本没思考啥,不,是没思考出啥。想了想如果自己是个会写程序的羊毛党会如何利用这些机会,并且自己作为一名开发人员如何防范薅羊毛的行为和越权的问题。

两篇文章:1、记一次促销活动中的“羊毛党”对抗 2、越权漏洞治理实践(自动检测部分IDOR)

一个爬虫学习地址:https://github.com/Kr1s77/Python-crawler-tutorial-starts-from-zero

一个自动化登录实践地址:https://github.com/Kr1s77/awesome-python-login-model

1、薅羊毛与自动化

读文章,首先、薅羊毛的话黑产组织前置准备的肯定是资源,手机号也好猫池也罢,必须要有成千上万的账号才可以开始活动。

然后,也就是薅羊毛的核心就是自动化,在物质匮乏的年代,我们经常会做人肉搜索,人肉堆评,但是自动化注定可以解放双手,所以无论从事什么样的活动(抢优惠券也好,给爱豆控评也罢),用代码生成自动化工具是必不可少的。

文中提到,一个较完善的自动化软件工具,具有批量账号、接码平台、批量请求、滑动验证码识别及爬虫代理 。可见这些都是黑产行业进行自动化的必要条件。

这些我们都可以用python模拟实现,我是写了一个B站的弹幕自动发送的脚本,代码就不贴了,互联网上可以搜到。

还有自动登录给豆瓣、微博控评等等,这个方法需要chromedriver驱动调试和selenium这个web自动化测试工具实现自动登录(也可以实现虎牙自动登录然后发送弹幕),但是很遗憾chromedriver网站上暂时还没有现在谷歌浏览器最新版的驱动,所以跑代码时会报错,等以后出了,再试试自动登录发弹幕或者当水军控评的情况

3.PNG

chromedriver驱动下载地址:http://chromedriver.storage.googleapis.com/index.html?path=92.0.4515.43/

机器人弹幕、水军评论也算是低阶黑产了吧,本质和薅羊毛非常类似,实现原理就是自动化,有个抢高铁票的软件bypass,实现原理也是把账号交给抢票软件,购票者提供个人信息,上传至服务器数据库。一旦检测到余票就迅速锁定,用程序代替人的手工,自动地完成这一系列操作。

我的理解:写这些薅羊毛脚本程序的本质就是抓取网页一些关键信息,同时使用已有的关键信息,从而实现各种业务功能。

如何防范:我也不知道,我能想到的就是封禁高频率IP、使用谷歌浏览器或者12306那种反人类验证码鉴别机制

贴一下文章的方法,有技术点有业务点,非常不错:

4.PNG

总之,原则是避免一切自动脚本操作的可能。

2、越权与开发规范

在我记事起,越权一直是属于业务逻辑问题,也就是开发人员开发不规范或者是有些业务点没考虑到才会出现这种问题,比如抓个包就把普通用户改成管理员用户然后就进入管理员可以进入的页面了。

至少我现在用Shiro或者SpringSecrity来整认证授权,感觉只要写的够规范,就能规避越权问题,再辅以JWT啥的,毕竟拿到了JWT不知道加密规则、签名啥的也解不出JWT中的内容,所以截包者连用户信息都拿不到,而且JWT还把session给代替了。可以看看我自己的JWT要点

所以看了越权的这篇文章,自己也没啥感触,可能以后对安全测试理解更深了再回看会有其他想法吧


标题:关于薅羊毛和越权的思考
作者:jyl
地址:http://www.jinyunlong.xyz/articles/2021/08/10/1628582530791.html