安全保卫战——家乐福618安全与性能之战(13)_：安全保卫战——家乐福618安全与性能

必要的投入还是需要的！

Token是我们用来做前后端动作校验这个行为是否一定是先经过一条什么路径再到什么路径的必要手段，那么这个Token肯定不能轻意可以被人模拟和识破，大家要知道现在的安桌应用如果不加专业的混淆器被人反编译是在分分钟的事，不要惊讶，我们就碰到了。

同时，对于每一个页面点击做好相应的业务逻辑梳理，在后台接受到API请求时再做双重逻辑校验，是可以有效避免这一类攻击的。

脉冲式Bot什么叫脉冲式Bot呢？这个Bot很好玩，它属于可自调节频率Bot的一种。比如説，你有一条Bot防护规则为每分钟超过120次连续1小时就会被触发，那么这个Bot被拦了第一次以后它就会变频率，变成每分钟119次，但也是连续1小时。亦或者每分钟120次但是它的访问周期只有5分钟-10分钟，由于这两种攻击都没有触及你的防护规则，因此它不会被拦截甚至被侦测到，而且它会长时间“吊”在你的网站上，时有时无但再怎么样它也是有它规律的“周期”的，因此我们把它称为脉冲式Bot。

含有业务逻辑的Bot这也是很智能的一种Bot，它通过一定时间的“自适应”，知道你们在后台用相应的逻辑来封它，那么好吧，这个Bot它进化了，它就会“顺着你的逻辑”来访问你。