1. 收藏按鈕可以無限點擊 +1

小知識：網(wǎng)頁前端和后端都要對收藏狀態(tài)進行控制，防止收藏數(shù)異常

（狂點主頁收藏按鈕）

2. 點贊可以無限點擊 +1

小知識：網(wǎng)頁前端和后端都要對點贊狀態(tài)進行控制，防止點贊數(shù)異常

（進入任意題目頁面，對任意回答狂點贊按鈕）

3. 沒有選擇題目就能操作 +3

小知識：網(wǎng)頁前端和后端都要校驗用戶是否允許操作

（點擊右邊側(cè)欄，把試卷全刪了，然后點擊組卷）

4. 可以刷瀏覽量 +3

小知識：可以根據(jù)用戶 id 或 IP 等維度來保證單用戶的瀏覽量不重復統(tǒng)計

（打開F12網(wǎng)絡，從主頁點進任意題目頁面，看到下面有個 "view?id=1" ，打開 工具包-請求工具，地址"api/question/view"，參數(shù)"id=1"，次數(shù)大點自己調(diào)大）

5. 點擊按鈕過于頻繁導致狀態(tài)顯示錯誤 +1

小知識：前端開發(fā)時，要充分測試用戶單次操作和多次操作的合理性

（主頁面，狂點“選題”）

6. 觸發(fā) XSS 攻擊 +2

小知識：最普遍的 Web 應用安全漏洞，要在前后端嚴格校驗和過濾用戶的非法輸入

7. 觸發(fā) SQL 注入攻擊 +2

小知識：常見安全漏洞，要在前后端嚴格校驗和過濾用戶的非法輸入

10. 輸入非法字符 +1

小知識：昵稱等信息通常要限制用戶輸入的字符，防止出現(xiàn)一些安全漏洞或顯示異常

（在主頁面上方的搜索框中，輸入 <script>alter("魚皮大帥比")</script> 回車 ）

8. 輸入過長 +2

小知識：網(wǎng)頁的前端和后端都要校驗用戶的輸入

（進入任意題目頁面，點擊寫回答，輸入無窮多內(nèi)容，點擊提交）

9. 郵件輸入不合法 +2

小知識：郵箱、手機號之類的重要信息通常需要嚴格的正則表達式校驗，前后端都要校驗

（點擊右上角頭像-個人中心，點擊編輯，郵箱一欄的內(nèi)容本身就不合法，所以直接點擊提交即可）

11. 提交數(shù)過多 +2

小知識：對于內(nèi)容平臺，前端和后端都要對用戶的提交頻率和次數(shù)做限制，防止惡意重復提交

（點擊上傳-上傳題目，補充任意題目內(nèi)容后，狂點提交按鈕）

12. 頻繁提交重復的搜索內(nèi)容，影響熱搜推薦 +3

小知識：對于內(nèi)容平臺，要對用戶刷量 / 可能影響推薦的行為進行控制

（點擊主頁的搜索欄，輸入任意內(nèi)容后，狂點搜索）

13. 惡意提交粗鄙之語 +2

小知識：可以通過人工審核、AI 審核等方式嚴格控制用戶提交內(nèi)容的合法性，并對違規(guī)用戶進行封禁

（打開工具包，點擊 生成粗鄙之語 ，然后去到任意題目下，點擊 寫回答，然后ctrl+v，提交）

14. 惡意提交灌水內(nèi)容 +2

小知識：可以通過人工審核、AI 審核等方式嚴格控制用戶提交內(nèi)容的合法性，并對違規(guī)用戶進行封禁

（打開工具包，點擊 生成灌水內(nèi)容 ，然后去到任意題目下，點擊 寫回答，然后ctrl+v，提交）

15. 惡意提交營銷廣告 +2

小知識：可以通過人工審核、AI 審核等方式嚴格控制用戶提交內(nèi)容的合法性，并對違規(guī)用戶進行封禁

（打開工具包，點擊 生成營銷廣告 ，然后去到任意題目下，點擊 寫回答，然后ctrl+v，提交）

16. 惡意提交不健康信息 +2

小知識：可以通過人工審核、AI 審核等方式嚴格控制用戶提交內(nèi)容的合法性，并對違規(guī)用戶進行封禁

（打開工具包，點擊 生成好康的圖 ，然后得自己點擊圖片復制，接著去到任意題目下，點擊 寫回答，然后ctrl+v，提交）

17. 惡意提交虛假信息 +2

小知識：可以通過人工審核、AI 審核等方式嚴格控制用戶提交內(nèi)容的合法性，并對違規(guī)用戶進行封禁

（打開工具包，點擊 生成虛假信息 ，然后去到任意題目下，點擊 寫回答，然后ctrl+v，提交）

18. 暴力破解密碼成功 +3

小知識：可以通過驗證碼、限流、限制單賬號密碼錯誤次數(shù)等方式防止密碼暴力破解

（打開F12，點擊右上角進行登錄，“普通用戶”登錄是123456，輸入后看到抓包有個login。打開 工具包-暴力破解工具，地址"api/user/login"，字典，執(zhí)行，得到密碼：555555 順便登錄吧）

19. 非法爬蟲，竊取網(wǎng)站內(nèi)容 +3

小知識：可以通過校驗碼、限制用戶瀏覽條數(shù)等方式一定程度上預防爬蟲

（是不是右上角的提示看到煩了哈哈哈哈哈哈哈哈）

（打開F12，然后在搜索框搜索任意內(nèi)容?？吹较旅嬗袀€ "search?pageNum=1&pageSize=1" ，打開 工具包-請求工具，地址"api/question/search"，參數(shù)"pageNum=1&pageSize=99999"）

20. 繞過權限，直接訪問管理員后臺 +3

小知識：前端要對管理后臺進行隱藏和鑒權，后端也要對敏感數(shù)據(jù)進行保護和訪問控制

（先用普通用戶登錄，然后點擊 工具包-網(wǎng)站目錄掃描，點擊最后一個“ce.mianshiya.com/op/question”）

21. 繞過前端權限控制，直接訪問后臺接口 +3

小知識：后端也要對敏感數(shù)據(jù)進行保護和訪問控制

（打開F12，點擊主頁導航欄的運營，回答管理，刪除任意回答。看到下面有個 "delete?id=1" ，打開 工具包-請求工具，地址"api/comment/delete"，參數(shù)"id=1"）

22. 瘋狂發(fā)送動態(tài)碼，浪費資源 +3

小知識：調(diào)用收費 API 時，一定要嚴格控制用戶調(diào)用的頻率和次數(shù)，做好監(jiān)控告警措施，否則破產(chǎn)就在一瞬間

（登錄的時候，狂點獲取驗證碼）

23. 瘋狂訪問超大圖片 +3

小知識：要嚴格限制用戶上傳文件的大小和格式，并且給存儲文件添加防盜鏈、緩存等防護 / 減壓措施，防止資源浪費

（回到主頁，看到右上角的 投降表情包了嗎，鼠標移上去，看到CDN地址: touxiang.jpg ，打開 工具包-請求功能，地址"touxiang.jpg"，次數(shù)999）

24. 瘋狂訪問耗時接口 +3

小知識：要嚴格控制單用戶調(diào)用接口的頻率，防止占用過多資源影響正常用戶的使用

（還是搜索蛤......）

（打開F12，然后在搜索框搜索任意內(nèi)容?？吹较旅嬗袀€ "search?pageNum=1&pageSize=1" ，打開 工具包-請求工具，地址"api/question/search"，參數(shù)"pageNum=1&pageSize=1"，這次是把次數(shù)調(diào)大9999）

25. DOS +3

小知識：低成本 / 致命的攻擊手段，盡量不要暴露源站 IP，并且給系統(tǒng)添加防火墻等方法策略

（打開 工具包-IP獲取 復制，然后打開 惡人工具，惡人數(shù)：1 ，目標地址：http://127.0.0.1:49999 ，操作頻率：999999 ，惡人分布：全不選，點擊 發(fā)UDP包 ）

26. DDOS +5

小知識：低成本 / 致命的攻擊手段，盡量不要暴露源站 IP，并且給系統(tǒng)添加防火墻等方法策略

（惡人數(shù)：9999 ，目標地址：http://127.0.0.1:49999 ，操作頻率：9999 ，惡人分布：全選，點擊 發(fā)UDP包 ）

27. CC 網(wǎng)頁攻擊 +4

小知識：通過模擬正常用戶持續(xù)訪問消耗大量資源的頁面，從而影響正常用戶的訪問

（惡人數(shù)：999999 ，目標地址：http://127.0.0.1:49999 ，操作頻率：1 ，惡人分布：全選，點擊 直接訪問 ）

28. 上傳超大文件 +2

小知識：要嚴格限制用戶上傳文件的大小和格式，并且給存儲文件添加防盜鏈、緩存等防護 / 減壓措施，防止資源浪費

（編輯個人資料，點擊頭像，選擇 >100G 的文件即可）

29. 瘋狂上傳文件 +3

小知識：建議限制用戶上傳文件的頻率，防止資源浪費

（編輯個人資料，連續(xù)4次 點擊頭像上傳文件即可，不用點擊提交）

30. 上傳非法腳本文件 +3

小知識：要在后端嚴格限制用戶上傳文件的格式 / 類型 / 文件頭等

（編輯個人資料，點擊頭像，上傳不為圖片格式的文件，比如.txt）

31. 冒充站長魚皮 +4

小知識：可以給站點特殊用戶增加認證和標識來幫助用戶區(qū)分

（編輯個人資料，把昵稱改為“魚皮”，提交）

32. 從其他地方獲取密碼 +3

小知識：不要以任何形式在網(wǎng)上散播你的敏感信息，注意自我保護

（回到主頁，鼠標右鍵-查看網(wǎng)頁源代碼，會看到有個注釋： /* 魚皮的密碼：yupi98 */ ，然后去到登錄界面，輸入“yupi98”即可）

33. 零日攻擊 +3

小知識：是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，這就需要網(wǎng)站維護人員持續(xù)關注最新的安全消息

（編輯個人資料，點擊頭像，上傳名為“sanLian.png”的文件即可）

34. 閱讀網(wǎng)絡安全相關法律 +2

小知識：入行第一課，請大家遵守法律，不要惡意攻擊他人的網(wǎng)站

（我找不到正確的打開方式，嗚嗚嗚）

作弊法：

打開F12，找到應用程序（Application），選擇左側(cè)Storage - Local Storage，編輯 gameState 中的 Value 值，

改為：{"init":false,"score":86,"succeedUnitList":["favourInfinite","thumbUpInfinite","noQuestionAddPaper","viewInfinite","tooManyPick","xss","sqlInjection","tooLong","badEmail","errorChar","tooManySubmit","badSubmitHotSearch","badSubmitFuck","badSubmitRubbish","badSubmitAd","badSubmitYellow","badSubmitFake","blastPassword","spider","authBypass","opBypass","tooFrequentCaptcha","visitBigPicture","visitCostApi","dos","ddos","cc","tooBigUpload","frequentUpload","illegalUpload","pretendYupi","getInfoBypass","0day","readLaw"],"gameTip":true}

然后就可以打開你的游戲面板截圖裝B了，哦對了，魚皮的表情包記得收集哦！