bilibili评论和视频刷赞思路

lostmilkyway

主要是之前B站看番有个“昨夜星河万里”批量霸占各个视频的热评榜，感觉很不正常，我自己找了下找到个刷赞的软件，看了一下他的演示流程，经过简单测试大概了解了原理，在这里整理一下，另外这个漏洞已经反馈给了B站了。这是预计要点赞的评论。


我们按一下F12在network里面对点赞操作进行抓包。


稍微分析一下可以发现这个名为action的请求即为我们点赞时候发送的数据包，这里面包含了点赞请求接收的地址以及请求方式。


然后往下翻，在request headers里面找到cookie信息。这个里面记录的是我们的账号登录信息，只要有它我们就可以通过B站点赞时候的用户验证，不然会提醒“账号未登录”，另外B站的登录貌似仅仅只需要发送附带这个cookie的信息就行。。。。。。


接下来就要找到我们发送的请求信息了，在最下面的Form Data（表单数据）里面可以查看到，这里面是我们向点赞服务器提交的数据包内容。具体代表什么意思不需要了解，我们直接拿来用就行。这里面包含有点赞对象的ID，点赞操作/取消点赞，校验码之类的。


到这里我们已经有了完整一套的，数据包请求的服务器地址，请求用户，然后请求内容，接下来我们只需要自己“创造”一个相同格式的数据包即可发送“点赞”请求。随便来到一个在线HTTP发送接口，我们构造一下请求内容。下面这个是请求的服务器地址和请求内容。


接下来这个是请求的用户信息。随便附带一个user-agent。


然后我们点击“发送请求”，查看返回信息。此时显示发送成功。


我们再看一下那个评论。点了一个赞。


也就是说，只要我们注册够多的账号，拿到对应的cookie信息，我们就可以做到对一个评论进行批量点赞从而霸榜热评。另外视频的点赞投币也是可以这样操作的。

更新*********************
    是我草率了，我刚来论坛一直在这个分区发帖，看了一下也只有“漏洞分析”这个选项比较合适。虽然这个问题是很多网站都存在的，业务流程就是这样写的，但我不认为它合理。确实“注册账号“是大头，之前B站注册是，不是必须要手机号的，完全可以脚本挂代{过}{滤}理进行批量注册，现在也可以买号，当然这东西也不是说就一定可以用它干啥，毕竟我们也用不到。这个问题说明B站没有对cookie以及用户的行为进行校验。
    批量举报可以让一个帖子，一个评论，一个视频消失；
    私信爆破直接恶心人；
    霸屏引流控评就不多说了；
    等等等。这会导致出现一个庞大的水军团体。

lostmilkyway

哆啦A梦 发表于 2021-7-7 14:54
表示这个很正常啊！很多网站都是啊！正常的思维！你这就是没有验证CK和没有CK过期好像！？

是嘞，cookie不校验，数据包不混淆

侃遍天下无二人

这不算漏洞吧，正常业务逻辑而已，不过对cookie校验不严格确实会给人可乘之机

Hmily

lostmilkyway 发表于 2021-7-7 11:06
我的天，自动排版出来这么拉胯，必吃换行符，手动点的换行不识别。。。。。反正内容也不多，可以凑活着看。 ...

我帮你编辑了，建议如果从其他地方复制粘贴，请选择右上角“纯文本”模式下粘贴，不然格式确实会有问题。

安兹乌尔恭！

建议删掉人类线

轻井泽惠

”昨夜星河万里“的评论明显不正常，早就和客服举报了，但一直没反馈，估计压根没去管。
刷赞早就在某圈子里横行了，曾经加过某B站群，群内共享5W多账号，cookie等参数一应俱全，都是整理好的，用python写的程序导入可以直接刷赞。

Frhvjhhv

这不是正常的网站逻辑吗？你给我找一个业务逻辑不是这样的网站来。。。你带上cookie登录任何网站都可以。。。。

轻井泽惠

zhouhlyf 发表于 2021-7-7 16:54
这个厉害了，不过B站账号好注册吗

早期B站注册基本无条件，写个注册机就能大量注册，现在也能，不过要XX平台

52pojie恒大

b站之前抓过，大概跑一会私信就直接封消息了 加变量时间间隔可以取消
抓的粉丝列表还能看到什么时候开的会员 什么时候到期  不过都不是什么关键信息

shun2003

思路值得我们学习。感谢

lostmilkyway

我的天，自动排版出来这么拉胯，必吃换行符，手动点的换行不识别。。。。。反正内容也不多，可以凑活着看。。。。

hhxxhg

要想注册足够多的账号也不容易啊

星空漫步

楼主可以的 思路清晰 虽然我一直都是后端开发 但是一直没怎么想过实际生活操作一下

小萌新吧

现在主要的问题就是如何册多个账号不被ban

sam喵喵

这个技术对CSDN也有效吗

法克尼爹

刷赞的理论都差不多、主要是帐号难

Hawke丿

- -b站不需要搞这些花里胡哨的吧，感谢技术奉献