上次跟朋友閒聊XSS議題,我虛心受教了,於是我也問他有沒有東西,
我來玩玩看。
結果他丟給我一個比較完整的小玩意,可以註冊帳號的一個討論區。
很得意的告訴我其中的創意,未來可能有錢可以賺。
我稍微看了一下這個demo,還沒仔細看他討論區的設計(其中主題是真的很有創意),
就發現了註冊是非常簡單的,沒有任何驗證。
於是這次換我好心提醒了:「你這要不要做個驗證?我怕你資料庫爆炸」
結果他說:「我知道阿,這只是demo,而且要爆炸什麼?你要打API來灌我嗎哈哈哈」
我說,的確啦,現在只有我知道這個網頁,大概除了我沒人會這樣做。
「難道你不怕我來灌嗎?」
我沒料到他信心滿滿:「來啊,給你打API,你弄得爆我的資料庫我請你吃某X天堂(吃到飽)」
結果有點嚇到了的是我,我有點意外,因為他很認真的。
難道他資料庫那邊不怕爆掉嗎!?
我確認是可以隨便填寫信箱帳號的,而且他也承諾我不會加上驗證。
不過因為我對後端很不熟悉,的確不知道要讓資料庫炸需要多久.....
想請問這邊前輩,不做驗證的註冊,應該是如同我說的,有資料庫被灌的危險性!?
或者實作上需要耗費好幾天、損己的cpu之類的?
有點奇怪,不太了解他為什麼那麼有自信,是真的難以灌爆還是他虛假的自信呢!?
1台機器的話,的確不容易。
再加上,他只答應你不做驗証。
但你不知道他是否有做同步、分流、清資料的動作。
先不管並發數的限制。
如果他有做最大容量限制的話。那你怎麼灌都是灌不爆它的。
這邊指的最大容量限制,並不是單純的容量最大值。而是資料最大值。
當容量達到設定值的情況下,會自動捨棄最之前的資料。
畢竟,他也說了這是DEMO。所以的確有可能做這件事。畢竟資料不是一定要儲存住的。