简书文章阅读量之小漏洞

前言:

不好意思,我承认有点标题党,但不要全是标题党,下面的方法虽不正规,但确实能达到标题目的。不过建议慎用。

方法简介

简书中文章阅读量有一个漏洞,可以无限刷量。这个漏洞挺有意思的,如果你是在登录状态,同一篇文章无论你浏览多少次,阅读量只算做一次,但如果你是非登录状态,则你打开一次或者刷新一次阅读量就加一次。当然这个操作不能在app内做,可以分享链接至手机浏览器或者在pc端进行,要记住是非登录状态。

方法利用

做安全或者了解安全的朋友还可以进一步使用burp suite进行抓包自动刷量。有兴趣的朋友可以单独找我聊聊。

深入分析

经过分析其实简书的阅读量校验规则比较简单,一个单独的页面请求进行阅读量标记,url中包含待标记文章的id,在请求体中包含referer,后端收到请求后会校验referer中的文章id与url中id是否一致,如果一致则认为有效进行阅读量+1,如果不一致则直接返回success但不做+1,如果是登录用户则进行判断是否已经记录过(阅读过),如果是第一次阅读则+1(最近新增加了逻辑作者本人阅读不做+1)。

不建议使用

其实刷量没有实际意义,毕竟不是真实用户流量,只是希望简书优化下该漏洞,比如限定下ip或cookie,避免被无限刷量。不过也有可能是简书故而为之。

学习过程中遇到什么问题或者想获取学习资源的话,欢迎加入技术爱好者交流群373107565,我们一起学技术!

你可能感兴趣的:(破解及安全防护)