快过年了,最近炒的最火的新闻莫过于抢票插件了。一开始我以为是第三方插件,类似于ie里activex或者 firefox的用户网页插件。
后来仔细看了一下,居然是国内浏览器公司(金山、360)开发的浏览器,抢票的原理很简单,插件截取来自12306的响应,篡改代码。实现定制化的东西,如轮循地查询车票信息,查找特定票务信息。如果12306.cn能够更人性化一点的话,我想也就不用抢票软件了。当然,铁道不希望有那种轮循机制来查询票务信息,这样对服务器是个很大压力。话说回来,如果12306能够做的足够好,像QQ和淘宝一样,相信就算是轮循查询也没什么啦。
偶仔细研究下里面12306.cn订票模块的代码,发现里面的代码结构确实挺复杂的,一是框架结构乱,从首页面到查询页面是一层套一层的iframe 有两层iframe.为了兼容浏览器的显示(firefox),居然专门开了一个iframe来调整页面的高度和宽度。二是文件复杂,把登陆后的页面导出后,你会看见里面好多js,css文件,而且套了三层,如图。三是安全性,里面大多数js都是明文,没有混淆加密,这让人很容易篡改。 总的来看,整个页面下来,文件结构如下flash(1个,68K),js(25个,460K),css(10个,106K),htm(4个,46K)
总大小680多K,可以看出JS和CSS占了大头,而且也多,真受不了.
在抢票插件的推动下,铁道部还是有所改进的,从源代码上来看,基本上春节期间每天都有更新,从js文件后的版本串就可以知道.另外一重大进步是,验证码的改进,记得早期的验证码就简单的字母,后面改成数字加大写字母了,当然不是过于简单,容易被识别.然而近期又更新例验证码了,大小字母加数字外加模糊和干扰线,这会已经无从破解,这得赞一个. 也算是里程碑式的进步,这会一切自动订票的插件和软件都变成半自动的了.
以下是俺写的一个自动订票的小程序.用图做简单的描述了.
该小程序从2.2号发布到现在(2.3零点)已经被我更新好几次,目前版本1.1,欢迎大家使用,提出意见,呵呵.
下载地址:Go Home 2013
郁闷,为嘛程序后 加壳360就报有木马呢? 还有就是原始文档下载使用时360的云杀毒还提示有风险.
360安全卫士越来越霸道了.