窗外是上海凌晨三点半的寂静。我盯着屏幕上抓包工具里瀑布般滚动的请求,第无数次刷新那个拼多多的商品砍价页面。三十二岁,还在干这种“黑客”活儿,说出去有点可笑。但没办法,那种近乎变态的裂变效率像磁石一样吸着我。我得知道,它到底是怎么把“帮我砍一刀”这种简单动作,变成病毒式传播的核弹的。
先从最表面的开始。浏览器F12,网络面板,清空,点击“发起砍价”。请求瞬间涌出来,十几个,眼花缭乱。关键的那个,是那个带着长长一串参数的POST请求,指向一个看起来像乱码的接口地址。参数列表长得让人绝望:_token、timestamp、sign、nonce、platform、app_version、device_id、channel……这还只是明面上的。我尝试用Python的requests库,把浏览器里的Headers原封不动复制过去,模拟发送。结果?返回码403,附带一句冷冰冰的“请求异常”。果然,没这么简单。
真正的对抗从这里开始。我发现那个叫“sign”的参数是核心,每次请求都变,显然是服务端验证请求合法性的签名。怎么生成的?大概率是用了某个算法,把其他参数(尤其是_token和timestamp)加上一个密钥(secret)混合加密得出的。密钥在客户端肯定找不到,这是常识。但拼多多更狠,它的_token本身也是动态的,似乎由上一个接口返回,而且有过期时间。这就形成了一个链式验证:你想调用砍价接口A,必须先拿到接口B返回的动态_token;而调用接口B,又需要另一个签名和_token。一环扣一环,像俄罗斯套娃。我不得不从页面加载的第一个接口开始,按顺序模拟整个用户会话流程。这工作量……我灌下一大口冷掉的咖啡,感觉太阳穴在跳。
更恶心的是时间戳。它不是简单的Unix时间戳,似乎做了某种偏移或者加密混淆。直接发送服务器当前时间戳?没用。我尝试对比连续几次正常操作的时间戳差值,发现规律很弱。最后,是在某个压缩过的JavaScript文件里,用搜索“timestamp”的方式,找到了一段混淆过的代码。用浏览器调试工具一点点跟,发现它会在本地时间戳基础上,加上一个由用户ID和某个固定字符串通过哈希生成的随机偏移量。虽然只是几十到几百毫秒的扰动,但足以让简单的时间戳复制失效。我把这个逻辑用Python还原出来,那一刻,有种破解了保险箱密码的虚脱快感。
然后是设备指纹。device_id看起来是固定的,但channel、platform这些,会随着你从微信、QQ还是APP本身进入而变化。我模拟了一个从微信分享链接进入的场景,需要额外获取微信授权后的openid和unionid,并把它拼接到某个参数里。这还没完,请求头里的User-Agent必须严格匹配微信内置浏览器的格式,甚至包括一些特定的标记字符串。拼多多的风控系统像一条警觉的猎犬,任何一点气味不对,都会立刻呲牙。
花了整整两个通宵,我像拼图一样,把获取商品信息、验证登录态、获取动态_token、计算签名、携带正确设备信息和时间戳偏移的整个链条,用代码勉强跑通了。当我第一次用自己的脚本,成功发送一个砍价请求,并收到“砍价成功,砍掉0.01元”的返回时,我几乎要从椅子上跳起来。那感觉,不是要作弊去薅羊毛,而是纯粹技术上的征服感。我看到了一个为海量并发和极端恶意请求设计的、精密如钟表的后台系统。每一个参数都不是多余的,都是对抗刷量、模拟、机器人的一道防线。
但喜悦只持续了不到五分钟。当我尝试用同一个脚本,为同一个商品发起第二次、第三次砍价请求时,返回信息变了。“活动太火爆,请稍后再试”。接着,很快,连第一次请求也变成了这个。我更换IP地址,清空所有缓存,甚至模拟了不同的微信用户ID。结果一样。我知道,我被标记了。不是基于单个请求,而是基于我的行为模式:请求间隔过于规律,参数生成链条虽然正确但缺乏真人操作的随机延迟和微小的误操作,可能还有一些我根本没意识到的底层指纹,比如Canvas渲染指纹、WebGL指纹,我的脚本根本没模拟。
我瘫在椅子上,看着窗外天色泛白。挫败感是有的,但更多的是敬畏。拼多多的工程师们,把业务逻辑(裂变)和风控逻辑(反作弊)焊接得天衣无缝。你研究它的裂变,就不得不直面它的风控。这不仅仅是技术,这是把对人性的深刻理解(贪婪、社交压力、占便宜心理)编码成了一整套系统。我的那点小聪明,在成建制的、经过亿级用户和黑产每日攻击锤炼的防御体系面前,不堪一击。
这次逆向,没让我找到漏洞,却让我彻底明白了什么是“顶级”。那种把简单功能做到极致复杂、极致稳固的能力。K因子(K-Factor)不只是产品经理PPT上的数字,它是被无数行精密的、充满防御性思维的代码托举起来的怪物。我关掉电脑,脑子里不是代码,而是一个问题:如果是我,我能设计出这样的系统吗?
也许,该睡一会儿了。然后,继续焦虑,继续学。
