网络安全这块。
最近的时候,我在某个嘿壳群闲聊。然后就有人发了个不知道从哪搞来的一键加群链接。我一看,这个链接之前我用朋友资质找腾讯申请过。只不过后面被朋友发的多了腾讯以非法滥用为由给我回收了。
刚好,那个群的名字是打洲社-清华大学。“清华大学”?一开始我估计又是哪个腾讯内邀的达人创建的名字拿来装B或者引流的吧。
于是我和其他嘿壳们一起去玩这个链接了,就这样不知不觉中开始传播了。任何人只需要在QQ里访问这个链接就会直接进群,甚至能直接无视“不允许任何人加群”限制(专用接口)

链接一键加群能力

直到今天……
有人在群里搞事,也不知道链接是传播到恶俗组织里了还是怎么。,总之部分聊天记录如下:

就这样互联网漏勺氛围持续了没多久,就有一位群员艾特了群管理:

于是我就被踢了,同时他们打开了不允许任何人加群。但是这时候他们还没意识到事情的严重性……
原本到这里就应该结束了,可是最特么草台班子的时刻来了(你猜猜我们是怎么加的群):
马奇诺防线
没错,我又加回去了。实际上我加了那个群几乎没怎么看过,嘿壳群里聊天的时候他们提了下这个群的动向我才知道被踢的。
那我肯定好奇里面发生了什么啊,自然得进去看一下。
话虽如此,那个一键加群链接是没法无视踢黑(不再允许此人加群)的。在那种情况下你也没有办法踢黑,因为根本分不清到底是不是自己人全砍了那岂不是一种拒绝服务?

其实我这次进群只是为了吃瓜看乐子,没打算发言的。
可是这场面很难让我不忍住说两句:

“有黑客”可还行?笑死我了这句。
最后一句我可有话说了,作为曾经向腾讯申请成功过一键加群的人,我很清楚这加群链接只要是个QQ号都能点进去加群(被封的不知道,可能不行)。
什么?你问我他们这个严格身份验证的活动别人是怎么拿到的链接?别小瞧黑客,虽然我没玩过三角洲,没实机看究竟是怎么回事。反正你只要是在公网上,黑客们就会尝试给你翻个底朝天。说不准就是黑客在扒活动页面的时候抓出来的呢?当然现实可能并不是如此,这也只是我的一些推断。总之要靠验证的人去泄露那相比之下概率低多了。

这个群的管理在发现事情一发不可收拾的时候选择了禁言:

从这一刻开始,我才终于明白原来这真是清华大学里的群。终于啊,网上的假群见多了头一次见到真家伙。
然后那人骂的不是我,是另一个空白名字的人(我服了,空白名字的缺点体现出来了)

当然,过了一会他又解除全员禁言了:

从那时起,这位管理彻底破防了。就这样一直禁言到我写到这个字的时候。确实,这种事换谁谁够,一堆捣乱的里面还不一定挑到几个自己人。
这也就是上面所有截图都是“全员禁言中”状态的原因了。
就这样,这件事到这里就告一段落了。如果后续有更新的话我会继续往下写。

其实一开始我就觉得腾讯这种设计本来就是要遭滥用一样,跟新式互联网病毒似的。之前都爆发过一阵子了,直到把权限回收并且设立严格门槛(需要是游戏公司并且有软著、已上架应用商店且实际可玩)才解决。
那时我就想,万一有人复制别人链接不也照样传播吗?现在抓个包又不麻烦,更何况还是HTTP包。这下好了,回旋镖打自己身上了。
所以设计就从一开始就是有问题的,加群这种涉及到数据写入的操作竟然用GET请求??要我说在指定活动页面用POST来请求取一个只有一次有效且获取后不用的时候短时间过期销毁的一键加群链接那才符合网络安全的“最小必要原则”,况且还不会影响业务。
腾讯是机器人企业吗?