本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云
一大早上起来,被群里网友吵翻天了。原因是他们发现了极客时间官方的一个重大 Bug 和漏洞!
这个大 Bug,导致他们可以利用官方的签到送极客币这个功能,反复的进行签到。每签到一次,可以获得 0.8 到 3 元现金!
有人利用这个功能,一小时刷了上千元。
目前,官方还未公布利用漏洞签到的是否会回退。也有网友表示,这是一次成功的营销。庆幸的是,还好极客时间上充值的现金不能进行提现。如果能进行提现,那后果估计比现在还严重!
如果不是营销,估计这次又要“杀一个程序员祭天”了。
实际上,在今天早上 6 点多的时候,我还进行了签到。这个漏洞一直被少数人进行了利用,直到官方发现后,紧急下线了该功能。
目前签到领取极客币的功能,再次上线的时间未知。不过,从这次漏洞可以看出,极客时间要走的路还有很多。程序员也应该注意到,所有功能都需要进行二次验证。
其实,很多程序和原理中都强调了,二次验证的重要性。比如,一些二阶段协议,分布式事务等,都提现了多次验证,校验的重要行。
极客时间 – 签到有礼:https://promo.geekbang.org/activity/v2/checkin,所有通过这个接口进行签到的功能,都需要先在前端验证一次,并在后端再次验证。而且还需要判断是否已经进行过签到了。
经过这一次洗礼,我相信极客时间会越来越成功!期待签到功能的再次上线!
最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!
本文原文出处:业余草: » 程序员神助攻,极客时间官方现重大Bug和漏洞