在李牧的眼里,一个成熟的网站不是前台的功能有多么牛逼,而在于后台的防御有多么强大。
互联网成熟阶段的网站几乎处处设防,技术人员绞尽脑汁的考虑到了绝大部分可能被人利用的漏洞,但即便如此,也没有一个网站敢说自己的防御滴水不漏。
有些网站在防御手段上做到了牢如铁桶,但往往就是一个小漏洞,就能让一切防御措施功亏一篑。
李牧不是黑客,不太精通技术攻击一个网站的办法,他想寻找的,是一个能够再次利用人海战术完成爆吧的机会,但q吧不惜牺牲用户体验来做技术防御,让李牧也觉得有些无从下手,直到他注意到q吧的站内信功能。
站内信功能其实是牧野科技的贴吧最先使用的,相当于是基于贴吧开发的一个简单的即时通讯功能,让贴吧的吧友可以私下里进行简单沟通,这个功能很简单,但是也非常实用,因为用户在贴吧的信息交互是公开的、是一对多的,当他们选择在一个贴吧发帖,就相当于是把帖子的内容向这个贴吧的用户,甚至是所有互联网用户开放,如果他们遇到志同道合的朋友,如果他们想和某个吧友私密的交流,就需要一个公开转私密的过程,站内信就极好的解决了这个问题。
q吧在做技术架构的时候,也把站内信功能规划了进去,他们对用户发帖做了限制,但却没有对站内信功能做出任何限制。
李牧打开站内信功能,发现弹出的页面里只有收信人、内容这两个填写项,除此之外,仅有一个发送选项,再无其他。
也就是说,验证码也好、一个小时内只能发帖一次也好,针对的都是前台公开的发帖、回帖,但是。没有限制用户在用户后台层面的私信交流。
李牧心里明白,发站内信和发帖虽然形式上有很大区别,但对系统后台、对服务器承载来说,基本上没什么差别。
发帖、发站内信。都考验服务器对数据写入请求的承载能力,但站内信甚至还要比发帖多出一个逻辑,那就是投递逻辑。
一段数据从用户a这里发出,上传写入至服务器,服务器记录写入的同时。还要把内容投递到用户b的用户后台,用户b收到站内信数据,会先激发一个用户后台的提示功能,然后再把用户b已经收到站内信的回执发送给服务器记录。
总之,这个东西看似简单,但数据的上传再到下发,不是一般的繁琐。
李牧注册了一个新的q吧账号,然后用自己的旧账号,给新账号发送站内信,如果把新账号的id名称复制下来。发送的时候在收信人栏上粘贴一遍新用户的id,然后在内容栏里,快速粘贴数次作为垃圾内容,然后迅速点击发送,紧接着再快速进行下一轮。