[原创] bilibili评论和视频刷赞思路

a1辅助网提供[原创] bilibili评论和视频刷赞思路的下载地址,长期提供破解软件,各种线报福利等,80099是一个很好的福利资源网站

这不算漏洞吧,正常业务逻辑而已,不过对cookie校验不严格确实会给人可乘之机

lostmilkyway 发表于 2021-7-7 11:06
我的天,自动排版出来这么拉胯,必吃换行符,手动点的换行不识别。。。。。反正内容也不多,可以凑活着看。 …

我帮你编辑了,建议如果从其他地方复制粘贴,请选择右上角“纯文本”模式下粘贴,不然格式确实会有问题。

建议删掉人类线

主要是之前B站看番有个“昨夜星河万里”批量霸占各个视频的热评榜,感觉很不正常,我自己找了下找到个刷赞的软件,看了一下他的演示流程,经过简单测试大概了解了原理,在这里整理一下,另外这个漏洞已经反馈给了B站了。这是预计要点赞的评论。

我们按一下F12在network里面对点赞操作进行抓包。

稍微分析一下可以发现这个名为action的请求即为我们点赞时候发送的数据包,这里面包含了点赞请求接收的地址以及请求方式。

然后往下翻,在request headers里面找到cookie信息。这个里面记录的是我们的账号登录信息,只要有它我们就可以通过B站点赞时候的用户验证,不然会提醒“账号未登录”,另外B站的登录貌似仅仅只需要发送附带这个cookie的信息就行。。。。。。

接下来就要找到我们发送的请求信息了,在最下面的Form Data(表单数据)里面可以查看到,这里面是我们向点赞服务器提交的数据包内容。具体代表什么意思不需要了解,我们直接拿来用就行。这里面包含有点赞对象的ID,点赞操作/取消点赞,校验码之类的。

到这里我们已经有了完整一套的,数据包请求的服务器地址,请求用户,然后请求内容,接下来我们只需要自己“创造”一个相同格式的数据包即可发送“点赞”请求。随便来到一个在线HTTP发送接口,我们构造一下请求内容。下面这个是请求的服务器地址和请求内容。

接下来这个是请求的用户信息。随便附带一个user-agent。

然后我们点击“发送请求”,查看返回信息。此时显示发送成功。

我们再看一下那个评论。点了一个赞。

也就是说,只要我们注册够多的账号,拿到对应的cookie信息,我们就可以做到对一个评论进行批量点赞从而霸榜热评。另外视频的点赞投币也是可以这样操作的。

更新*********************
    是我草率了,我刚来论坛一直在这个分区发帖,看了一下也只有“漏洞分析”这个选项比较合适。虽然这个问题是很多网站都存在的,业务流程就是这样写的,但我不认为它合理。确实“注册账号“是大头,之前B站注册是,不是必须要手机号的,完全可以脚本挂代{过}{滤}理进行批量注册,现在也可以买号,当然这东西也不是说就一定可以用它干啥,毕竟我们也用不到。这个问题说明B站没有对cookie以及用户的行为进行校验
    批量举报可以让一个帖子,一个评论,一个视频消失;
    私信爆破直接恶心人;
    霸屏引流控评就不多说了;
    等等等。这会导致出现一个庞大的水军团体。

部分文章来自互联网,侵权删除www.a1fz.com/

www.a1fz.com A1fz网专注于福利分享,各种破解软件学习资料,视频教程等等,如有侵权告知管理员删除
A1fz.com,福利吧,宅男福利,宅男,福利社,福利,有福利 » [原创] bilibili评论和视频刷赞思路

发表评论