简书文章阅读量之小漏洞

方法简介
简书中文章阅读量有一个漏洞,可以无限刷量。这个漏洞挺有意思的,如果你是在登录状态,同一篇文章无论你浏览多少次,阅读量只算做一次,但如果你是非登录状态,则你打开一次或者刷新一次阅读量就加一次。当然这个操作不能在app内做,可以分享链接至手机浏览器或者在pc端进行,要记住是非登录状态。

方法利用
做安全或者了解安全的朋友还可以进一步使用burp suite进行抓包自动刷量。有兴趣的朋友可以单独找我聊聊。

深入分析
经过分析其实简书的阅读量校验规则比较简单,一个单独的页面请求进行阅读量标记,url中包含待标记文章的id,在请求体中包含referer,后端收到请求后会校验referer中的文章id与url中id是否一致,如果一致则认为有效进行阅读量+1,如果不一致则直接返回success但不做+1,如果是登录用户则进行判断是否已经记录过(阅读过),如果是第一次阅读则+1(最近新增加了逻辑作者本人阅读不做+1)。

不建议使用
其实刷量没有实际意义,毕竟不是真实用户流量,只是希望简书优化下该漏洞,比如限定下ip或cookie,避免被无限刷量。不过也有可能是简书故而为之。


作者:jmfang
来源:CSDN
原文:https://blog.csdn.net/jmfang/article/details/77894219
版权声明:本文为博主原创文章,转载请附上博文链接!

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:终极编程指南 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值