网络安全这块。
最近的时候,我在某个嘿壳群闲聊。然后就有人发了个不知道从哪搞来的一键加群链接。我一看,这个链接之前我用朋友资质找腾讯申请过。只不过后面被朋友发的多了腾讯以非法滥用为由给我回收了。
刚好,那个群的名字是打洲社-清华大学。“清华大学”?一开始我估计又是哪个腾讯内邀的达人创建的名字拿来装B或者引流的吧。
于是我和其他嘿壳们一起去玩这个链接了,就这样不知不觉中开始传播了。任何人只需要在QQ里访问这个链接就会直接进群,甚至能直接无视“不允许任何人加群”限制(专用接口)

链接一键加群能力

直到今天……
有人在群里搞事,也不知道链接是传播到恶俗组织里了还是怎么。,总之部分聊天记录如下:

就这样互联网漏勺氛围持续了没多久,就有一位群员艾特了群管理:

于是我就被踢了,同时他们打开了不允许任何人加群。但是这时候他们还没意识到事情的严重性……
原本到这里就应该结束了,可是最特么草台班子的时刻来了(你猜猜我们是怎么加的群):
马奇诺防线
没错,我又加回去了。实际上我加了那个群几乎没怎么看过,嘿壳群里聊天的时候他们提了下这个群的动向我才知道被踢的。
那我肯定好奇里面发生了什么啊,自然得进去看一下。
话虽如此,那个一键加群链接是没法无视踢黑(不再允许此人加群)的。在那种情况下你也没有办法踢黑,因为根本分不清到底是不是自己人全砍了那岂不是一种拒绝服务?

其实我这次进群只是为了吃瓜看乐子,没打算发言的。
可是这场面很难让我不忍住说两句:

“有黑客”可还行?笑死我了这句。
最后一句我可有话说了,作为曾经向腾讯申请成功过一键加群的人,我很清楚这加群链接只要是个QQ号都能点进去加群(被封的不知道,可能不行)。
什么?你问我他们这个严格身份验证的活动别人是怎么拿到的链接?别小瞧黑客,虽然我没玩过三角洲,没实机看究竟是怎么回事。反正你只要是在公网上,黑客们就会尝试给你翻个底朝天。说不准就是黑客在扒活动页面的时候抓出来的呢?当然现实可能并不是如此,这也只是我的一些推断。总之要靠验证的人去泄露那相比之下概率低多了。

这个群的管理在发现事情一发不可收拾的时候选择了禁言:

从这一刻开始,我才终于明白原来这真是清华大学里的群。终于啊,网上的假群见多了头一次见到真家伙。
然后那人骂的不是我,是另一个空白名字的人(我服了,空白名字的缺点体现出来了)

当然,过了一会他又解除全员禁言了:

从那时起,这位管理彻底破防了。就这样一直禁言到我写到这个字的时候。确实,这种事换谁谁够,一堆捣乱的里面还不一定挑到几个自己人。
这也就是上面所有截图都是“全员禁言中”状态的原因了。
就这样,这件事到这里就告一段落了。如果后续有更新的话我会继续往下写。

后续:又被踢了,同时那个一键加群链接不能用了(显示“没有更多群聊”)。还记得那个群开了“不允许任何人加入”吗?这样做还算修的彻底,外面没人能加群了,只能指定渠道加群。
被踢力(悲)

就这样告一段落了

后续的后续:链接又能用了,我是真服了。
《这次应该是正常进的吧》
你们知道有多搞笑吗,进群的那几个,有四个是我好友哈哈哈。
云梦泽、翅膀、仁济、kun
全都是《正常进的》

腾讯你到底在干什么啊喂,你这是要把我们都笑死吗?你是真的牛皮
原本我以为泄漏链接失效一下就解决了基本上(虽然也有隐患)但是原来链接停用一下然后再打开我是真没想到
不怕神一样的对手,就怕猪一样的队友

而且云梦泽那句 “是” 我是真的要笑死了,逻辑闭环了属于是
然后还有“哥你好,我回来了”,哈哈哈让我先笑会儿

对了,还记得那个Aoi是谁吗?就是我上面那些聊天记录里出场率很高的那位,和那个群管理员是一块的应该

然后就变成这样了,又回归以前了
这下他们又要破防了估计,还好现在还没人大范围传播这个旧链接。以前传播的新消息又刷上去了所以没有很多人看到了。
如果有人传播,那么我都不敢想象能乱成啥样

那么那个管理员lzy_de1ight呢?在我说“链接怎么又能用了”的时候,他还是不愿意相信旧情况死灰复燃了。然后充满不确定性的说了句“这次应该是正常进的吧”,而不愿相信他一直以来所相信的平台是多么的不可靠。
没办法,我们的云梦泽只能满足他的“剧本”,说一句“是”来保证在群里的“正当性”。

这件事是越来越有意思了,真挺期待后续发展的。那我肯定是要持续更新最新进展的。
这波是腾讯一个操作,背刺了我们所有人

其实一开始我就觉得腾讯这种设计本来就是要遭滥用一样,跟新式互联网病毒似的。之前都爆发过一阵子了,直到把权限回收并且设立严格门槛(需要是游戏公司并且有软著、已上架应用商店且实际可玩)才解决。
那时我就想,万一有人复制别人链接不也照样传播吗?现在抓个包又不麻烦,更何况还是HTTP包。这下好了,回旋镖打自己身上了。
所以设计就从一开始就是有问题的,加群这种涉及到数据写入的操作竟然用GET请求??要我说在指定活动页面用POST来请求取一个只有一次有效且获取后不用的时候短时间过期销毁的一键加群链接那才符合网络安全的“最小必要原则”,况且还不会影响业务。
腾讯是机器人企业吗?