网络状态码是什么鬼?ID是怎么来的?

第一部分是关于科普的。先说一下什么是网络状态码。

这个测试让这么多人学会了502 503甚至后来的403 404 504,这算是一个优点。

其实502和503在日常生活中并不经常出现。一个我们比较熟悉的状态码是404。404的原因是你试图访问一个不存在的资源,可能被删除什么的。有一点互联网经验的人不会对404感到陌生。

因为404出现频率太高,网上有很多个性化的404页面,不再枯燥单调的Not Found,还有“不知不觉来到了荒野”“页面丢了”和“Baby Homecoming PSAs”。

当然,说404频率最高是错误的。 HTTP状态码中的200是正常访问,但是正常访问时,200没有机会出现在页面上。

二、查分网站分析

我已经参加了几年的分数测试,所以我对河南省的考试分数还是有一些经验的。在过去的几年里,我亲眼目睹了它,并没有注意到网站有任何变化。当然今年是大事,希望能一劳永逸地解决问题。

这次的网址是

可以看到网址后面有一个ID。现在是4870,等网站可以正常访问的时候再试试。本站所有公告、分数查询、附件都使用这个增量ID,也就是说,在查分数之前,只需要找到最新的公告,比如4865,然后再试试,总能找到查看分数的链接。

那么,本站的约定是在分数公布的前一天晚上9点左右开通考试成绩通道,但当时的标题并没有改变。链接分数数据,9月16日晚,第一批找到自己分数的人,截图显示了2014年河南省一级建造师的成绩。

然后这个链接被张贴在互联网上,被该机构炒作。谁是第一个发现的以及如何发现的?我不知道,我想我试过了。

漫长的等待和重复的 502 503 紧随其后。

这段时间考场做了什么?

9月17日的一段时间,查分数时会遇到验证码,提示是waf_verify,WAF是Web Application Firewall。

当时看到很开心,还以为网站有救了,但现在想起来也太天真了。因为输入验证码后,里面还是打不开,才过了半天,验证码又消失了。

以下为个人推测,不作为任何真实性的参考。

我个人推测,这可能是程序员收到了WAF优惠券试用半天,或者买了低级流量包试试效果,然后用完了。

当时的WAF应该会把用户引导到另外一个单独的页面(这个页面和checkpoint官网无关,只是进入checkpoint页面的预验证),所以没有问题与验证码页面。可以毫不费力地打开,但是当你通过验证码时,页面本身并没有改变,仍然无法打开。

每个人都在说服务器宕机了,那么服务器在哪里呢?是不是有些田里种了土豆是真的吗?

我们先解析地址,然后查看IP,可以看到同一个IP绑定了很多域名。

尝试访问了几次,发现虽然没有连接,但都指向同一个云服务器提供商。

所以这次的事实部分:开发语言为ASP,查询请求时提交明文准考证号和身份证号。

我的猜测:(原本)我用的服务器是用来拍云的

当然,云服务本身也不错。不要让云服务器承担责任。云的优势在于资源的自由分配,可大可小。弹性资源调度是云的优势。可以说是没用好玩。

9月18日上午10点30分左右,服务器从浙江切换回郑州联通,个人推测可能是中原云。然后短暂恢复服务,之后开始出现 403 404。

11:10左右,云票价保障服务在网站上线。需要高强度认证后,可以查看分数,并宣布恢复正常。

我个人同意修复的结果,虽然迟了很久,但总比不等好。

但是,我认为恢复正常的根本原因是切换服务器。 Cloudfare 是锦上添花,当然更好,因为它与我要写的下一部分有关。

三、为什么华图能查到分数

在服务器宕机的30多个小时里,很多人通过华图查看分数。

图片[1]-网络状态码是什么鬼?ID是怎么来的?-老王博客

我们先来看看普通用户如何在官网查看自己的分数:

1、打开主页

2、打开检查页面

3、输入准考证和身份证查看成绩

那么华图是如何获得分数的呢?看花图的查分链接就知道,他最终还是需要去官网查的。它只是网络请求的中介。前面说了,考点在查询请求的时候会以明文形式提交准考证号和身份证号。所以华图直接提交第三步,可以“帮”大家查分。

当然,这次加入Cloudfare可以在一定程度上防止第三方机器人查询,所以也很有用。不过考点的网站全年这几天访问量很大,而且还是云服务的灵活配置。资源更科学。

门票号码&zh2=身份证号码

为什么华图会“帮助”你?自己想想,反正我不会去第三方网站查分数的。

不建议大家使用,包括职位排名。转到华图的隐私政策。

因此,有时不要仅仅因为促销短信和电话而责备该机构,想想你是否默认同意。

说起华图,还有一个自相矛盾的地方,那就是华图注册了河南人事考试认证微博。你能相信吗?

当我试图找到考试中心的电话号码时,我拨打了 114 并找不到号码。我打了12333说被举报了,但是我不知道考点的电话。

然后我找到了一条微博。

我以为不一样,然后看到域名是.org

中国互联网的一大优点是归档。根据备案asp没有验证码定义,我们可以发现:

这是你的,华图。

(还有一个.cn域名,也是华图的)

另一个补充

org 本网站已被完全篡改,但注册记录仍为华图注册主体。

如果华图人看到了,应该尽快下线。保留它也是一种祸害。也许有一天《互联网安全法》的主要责任会受到打击。

四、其他一些话

写这篇文章的时候asp没有验证码定义,侦察的事情已经结束了,但我还想说点什么。

我对中原这片土地还是深爱着,但是这种事情完全超出了责任范围,根本没有最低限度的期望。

换服务器好,加 Cloudfare 好,但一劳永逸?如果明文提交的身份证号不能改,后台会继续用ASP运行吗?

为什么不能同时公布排名?是不是要等社会上的各个企事业单位收集候选人的隐私,然后再公开提供所谓的排名?有些事情,与其让第三方去做,不如自己去做。毕竟需求来了,客观存在。

我只想说,请多一些负责。请不要把这第一课给还没有进入系统的年轻人。

最后,从网络安全的角度再说一句话。毕竟,郑州正在举办今年的全国网络安全周。

您可能会说,这是由于用户数量众多,访问量大。我没有受到攻击,也没有被篡改。你怎么能说网络是安全的。

《网络安全法》第七十六条:网络安全,是指采取必要的措施,防止对网络的攻击、侵入、干扰、破坏、非法使用以及事故的发生,使网络处于稳定可靠运行的状态。 ,以及确保网络数据的完整性、机密性和可用性的能力。

如果不认为瘫痪是安全事件,那么关闭的网站是最安全的,瘫痪的网站是最机密的,但没有可用性,我们还需要谈安全吗?

记住这一点。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论