前言
知乎上有小伙伴提了這么一個問題,如何看待陝西省普通話水平測試成績查詢系統?查詢系統前端代碼就直接給出了身份賬號,姓名,證書編號,如果信息是真的,就泄露了這么多考生的信息,白給那種。為什么會發生這樣的事情?事情的始末是什么?
證據
很多機智的小伙伴都打開了網址一探究竟,小編也不敢怠慢趕緊瞅瞅這牛逼的網站到底長什么樣子。
看着的確有模有樣,一股80年代的復古風格,趕緊拿出 F12 神器看一遍究竟哪位程序員寫出如此神奇的邏輯代碼。
點開層層結構,找到 <script>,卧槽還有這等神邏輯,本地數據庫,htmlsql?
小編拷貝出來這段邏輯代碼,足足有 2000 行代碼,涉及多大幾百個考生的身份證信息,為了安全期間,小編只好給馬賽克了。
通過邏輯分析發現,這個系統查詢本質上並不是用證件號 + 姓名 + 身份證號來查的,其實僅僅用姓名就足夠了,你可以直接訪問:
http://www.sxpth.cn/小明查詢結果.htm
這不是重點,重點在后面,一段神器的代碼:
else
{
//如果輸入的不是hello,那么跳轉到百度。總之,你說不可以用asp也就是服務器腳本只能弄個客服端了
location='查無此人.html';
}
看到這里,小伙伴們可能會以為這是哪個沙雕領導的要求?然而峰回路轉的是,眾網友居然找到了源代碼的出處,居然是 2009 年一位網友在百度知道的回答,不得不說互聯網真是個神奇的存在。
# 小伙伴們可以看這里
https://zhidao.baidu.com/question/119639957.html
難道這就是整個故事的結局,顯然不是,回到問題開頭,待陝西省普通話水平測試成績查詢系統 怎么說也應該是個正規的官方系統,順手查了一下網站的備案信息。
那么問題很明確了,這只是一個假網址http://sxpth.cn,仿冒的是這個真實的網址http://sx.cltt.org
不過假冒網站現在已經 Service Unavailable 了,不知道是訪問量過大服務爆了,還是自行下線了。
網友熱評
最后,我們欣賞一下各路吃瓜群眾的精彩評論:
天然支持高並發
跨平台兼容性好,任意移植
我想知道這個項目多少錢中標的
真正的前后端分離,完全不需要后端
很前衛 這是Serverless無服務架構
不需要數據庫,完全沒有拖庫的危險
剛才看了看他們網站,承包我這個月的笑點[允悲]
新潮流?微服務轉無服務?我一個產品經理也能寫![doge]
設計思想很有創意,適用於查考試成績這種讀多寫少的高並發業務場景。
代碼優化到了極致,億級並發完全不是事,阿里就缺你這種人才[doge]
不足的一點是,沒有采用js代碼混淆,這么高明的解決方案就人盡皆知了