bilibili评论和视频刷赞思路
本帖最后由 lostmilkyway 于 2021-7-7 16:58 编辑主要是之前B站看番有个“昨夜星河万里”批量霸占各个视频的热评榜,感觉很不正常,我自己找了下找到个刷赞的软件,看了一下他的演示流程,经过简单测试大概了解了原理,在这里整理一下,另外这个漏洞已经反馈给了B站了。这是预计要点赞的评论。
我们按一下F12在network里面对点赞操作进行抓包。
稍微分析一下可以发现这个名为action的请求即为我们点赞时候发送的数据包,这里面包含了点赞请求接收的地址以及请求方式。
然后往下翻,在request headers里面找到cookie信息。这个里面记录的是我们的账号登录信息,只要有它我们就可以通过B站点赞时候的用户验证,不然会提醒“账号未登录”,另外B站的登录貌似仅仅只需要发送附带这个cookie的信息就行。。。。。。
接下来就要找到我们发送的请求信息了,在最下面的Form Data(表单数据)里面可以查看到,这里面是我们向点赞服务器提交的数据包内容。具体代表什么意思不需要了解,我们直接拿来用就行。这里面包含有点赞对象的ID,点赞操作/取消点赞,校验码之类的。
到这里我们已经有了完整一套的,数据包请求的服务器地址,请求用户,然后请求内容,接下来我们只需要自己“创造”一个相同格式的数据包即可发送“点赞”请求。随便来到一个在线HTTP发送接口,我们构造一下请求内容。下面这个是请求的服务器地址和请求内容。
接下来这个是请求的用户信息。随便附带一个user-agent。
然后我们点击“发送请求”,查看返回信息。此时显示发送成功。
我们再看一下那个评论。点了一个赞。
也就是说,只要我们注册够多的账号,拿到对应的cookie信息,我们就可以做到对一个评论进行批量点赞从而霸榜热评。另外视频的点赞投币也是可以这样操作的。
更新*********************
是我草率了,我刚来论坛一直在这个分区发帖,看了一下也只有“漏洞分析”这个选项比较合适。虽然这个问题是很多网站都存在的,业务流程就是这样写的,但我不认为它合理。确实“注册账号“是大头,之前B站注册是,不是必须要手机号的,完全可以脚本挂代{过}{滤}理进行批量注册,现在也可以买号,当然这东西也不是说就一定可以用它干啥,毕竟我们也用不到。这个问题说明B站没有对cookie以及用户的行为进行校验。
批量举报可以让一个帖子,一个评论,一个视频消失;
私信爆破直接恶心人;
霸屏引流控评就不多说了;
等等等。这会导致出现一个庞大的水军团体。
哆啦A梦 发表于 2021-7-7 14:54
表示这个很正常啊!很多网站都是啊!正常的思维!你这就是没有验证CK和没有CK过期好像!?
是嘞,cookie不校验,数据包不混淆 这不算漏洞吧,正常业务逻辑而已,不过对cookie校验不严格确实会给人可乘之机 lostmilkyway 发表于 2021-7-7 11:06
我的天,自动排版出来这么拉胯,必吃换行符,手动点的换行不识别。。。。。反正内容也不多,可以凑活着看。 ...
我帮你编辑了,建议如果从其他地方复制粘贴,请选择右上角“纯文本”模式下粘贴,不然格式确实会有问题。 建议删掉人类线 ”昨夜星河万里“的评论明显不正常,早就和客服举报了,但一直没反馈,估计压根没去管。
刷赞早就在某圈子里横行了,曾经加过某B站群,群内共享5W多账号,cookie等参数一应俱全,都是整理好的,用python写的程序导入可以直接刷赞。 这不是正常的网站逻辑吗?你给我找一个业务逻辑不是这样的网站来。。。你带上cookie登录任何网站都可以。。。。 zhouhlyf 发表于 2021-7-7 16:54
这个厉害了,不过B站账号好注册吗
早期B站注册基本无条件,写个注册机就能大量注册,现在也能,不过要XX平台 b站之前抓过,大概跑一会私信就直接封消息了 加变量时间间隔可以取消
抓的粉丝列表还能看到什么时候开的会员 什么时候到期不过都不是什么关键信息 思路值得我们学习。感谢 本帖最后由 lostmilkyway 于 2021-7-7 11:12 编辑
我的天,自动排版出来这么拉胯,必吃换行符,手动点的换行不识别。。。。。反正内容也不多,可以凑活着看。。。。 要想注册足够多的账号也不容易啊 楼主可以的 思路清晰 虽然我一直都是后端开发 但是一直没怎么想过实际生活操作一下 现在主要的问题就是如何册多个账号不被ban:funk:eweqw 这个技术对CSDN也有效吗 刷赞的理论都差不多、主要是帐号难 - -b站不需要搞这些花里胡哨的吧,感谢技术奉献