安全保卫战——家乐福618安全与性能之战(15)_：安全保卫战——家乐福618安全与性能

路径1：先看首页->看到宣转轮播里新注册拿50积分的页->点击注册->领取积分

路径2：先看首页->看到宣转轮播里可以领春节礼券->点击领券

路径3：先看首页->看到宣转轮播里下单即领50积分->跑到分类页->点选几个分类页面->点选单品->加车->提交->还没得到支付成功消息立刻退货->获得积分->完蛋喽，你的网站积分被人刷走了

把这些个路径组合着和你来玩，而且还不重复，每天搞那么15、20下就收手，你还发现不了。这个超级恶心因此我们称这种拟人化基础上进化出来不断变化多种业务逻辑组合的Bot又叫作“孙悟空Bot”也正是这个道理。

黑产这个説起来可都是血泪，我这边先説一下我们遭遇的黑产狠到什么程度吧，因为我后面会讲解防护，针对这种有规模有组织的攻击防护不是单个Case、单个战场的防护，那已经没有意义了，我们需要的是体系化的防护。

破解Token直攻接口手机端被人反编译，然后知道你要带着一个32位的Token来访问接口，好！黑产使用工具Fiddler先把手机访问拦截一下然后用模拟器工具截获这个接口、破解这个Token然后用“机”带着Token直接访问你的接口

安全保卫战——家乐福618安全与性能之战(15)