本帖最后由 lostmilkyway 于 2021-7-7 16:58 编辑
主要是之前B站看番有个“昨夜星河万里”批量霸占各个视频的热评榜,感觉很不正常,我自己找了下找到个刷赞的软件,看了一下他的演示流程,经过简单测试大概了解了原理,在这里整理一下,另外这个漏洞已经反馈给了B站了。这是预计要点赞的评论。
我们按一下F12在network里面对点赞操作进行抓包。
稍微分析一下可以发现这个名为action的请求即为我们点赞时候发送的数据包,这里面包含了点赞请求接收的地址以及请求方式。
然后往下翻,在request headers里面找到cookie信息。这个里面记录的是我们的账号登录信息,只要有它我们就可以通过B站点赞时候的用户验证,不然会提醒“账号未登录”,另外B站的登录貌似仅仅只需要发送附带这个cookie的信息就行。。。。。。
接下来就要找到我们发送的请求信息了,在最下面的Form Data(表单数据)里面可以查看到,这里面是我们向点赞服务器提交的数据包内容。具体代表什么意思不需要了解,我们直接拿来用就行。这里面包含有点赞对象的ID,点赞操作/取消点赞,校验码之类的。
到这里我们已经有了完整一套的,数据包请求的服务器地址,请求用户,然后请求内容,接下来我们只需要自己“创造”一个相同格式的数据包即可发送“点赞”请求。随便来到一个在线HTTP发送接口,我们构造一下请求内容。下面这个是请求的服务器地址和请求内容。
接下来这个是请求的用户信息。随便附带一个user-agent。
然后我们点击“发送请求”,查看返回信息。此时显示发送成功。
我们再看一下那个评论。点了一个赞。
也就是说,只要我们注册够多的账号,拿到对应的cookie信息,我们就可以做到对一个评论进行批量点赞从而霸榜热评。另外视频的点赞投币也是可以这样操作的。
更新*********************
是我草率了,我刚来论坛一直在这个分区发帖,看了一下也只有“漏洞分析”这个选项比较合适。虽然这个问题是很多网站都存在的,业务流程就是这样写的,但我不认为它合理。确实“注册账号“是大头,之前B站注册是,不是必须要手机号的,完全可以脚本挂代{过}{滤}理进行批量注册,现在也可以买号,当然这东西也不是说就一定可以用它干啥,毕竟我们也用不到。这个问题说明B站没有对cookie以及用户的行为进行校验。
批量举报可以让一个帖子,一个评论,一个视频消失;
私信爆破直接恶心人;
霸屏引流控评就不多说了;
等等等。这会导致出现一个庞大的水军团体。