技术抢名额心得

来自ling
跳转至: 导航搜索

技术抢名额心得

抢票难点

  • 高并发下打不开网站-->本地缓存网站资源,非关键请求通过mock或创建java应用然后通过nginx转发的方式来实现本地对关键请求的本地化代替
  • 有图形验证码或短信验证-->只需要填写验证码或填写短信验证即可自动提交报名请求,页面需要录入的数据事先准备好.

心得

  • 技术第一,人工录入页面都打不开
  • 网址基本都是可以破解的,编译后的网站难度较大,老的技术漏洞太多.
  • 去掉验证后只需要关注最后提交动作的enroll提交的数据是否正确即可
  • 有复杂的验证码和短信验证,任然需要人工的参与,但去掉录入数据的时间,任然优势是最大的,而且可以重复提交数据.
  • 不知道什么机制,到点要需要刷新页面然后点验证码,收到短信后仍然需要在页面提交
  • postman提交会被提示调用请求非法,hosts代理网址xxx.xxx.xxx才是王道,所以从侧面提示api的地址和网页的地址必须是一个,不然还是有问题,当然,如果api和网页一个地址任然可以通过 代理处理,但却可以过滤掉一部分技术人员
  • 图形验证码的返回可以反复用来发短信,不用再做图形验证
  • "captcha": "验证码","randSuffix": "手机号码"
  • 提前2个小时需要检查破解的网站是否有更新,是否会影响上面的大原则


  • 前后端分离页面必然的问题
  • 关键页面的服务端渲染
  • 关键业务的重复性验证,比如短信,报名
  • 高并发时缓存,甚至是内存缓存的应用,不把压力放到数据库上
  • 关键业务,对请求来源的验证,如referer,origin等浏览器安全的设置
  • 其实我们的请求基本离安全还是有很多的距离
  • 如何在架构层面做到用户操作的数据是自己能操作的数据,并且调用的api是这个api应该做的事情.
  • 如何在业务接口上对数据操作权限和api