【web实战-业务逻辑】评论点赞逻辑

这篇具有很好参考价值的文章主要介绍了【web实战-业务逻辑】评论点赞逻辑。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

   【web实战-业务逻辑】评论点赞逻辑

前言:

介绍: 

【web实战-业务逻辑】评论点赞逻辑博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。

【web实战-业务逻辑】评论点赞逻辑殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。

【web实战-业务逻辑】评论点赞逻辑擅长:对于技术、工具、漏洞原理、黑产打击的研究。

【web实战-业务逻辑】评论点赞逻辑C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期。


导读:

【web实战-业务逻辑】评论点赞逻辑面向读者:对于网络安全方面的学者。 

【web实战-业务逻辑】评论点赞逻辑本文知识点: 

(1)重放数据包(√)

(1)可能会验证cookie中的身份参数(√)

(1)可能会有特殊的逻辑,如再次点击会取消点赞(√)

 让读者如虎添翼

业务逻辑漏洞 博文 目标 状态
评论、点赞 【web实战-业务逻辑】评论点赞逻辑 1、学习各种验证评论点赞成功的逻辑 已发布
短信轰炸 【web实战-业务逻辑】短信轰炸逻辑 2、对于短信轰炸的防护机制的绕过 已发布
并发 2023将公开实战笔记,敬请期待 —— ——
爆破 2023将公开实战笔记,敬请期待 —— ——
csrf 2023将公开实战笔记,敬请期待 —— ——
xss 2023将公开实战笔记,敬请期待 —— ——
越权操作 2023将公开实战笔记,敬请期待 —— ——
信息泄露 2023将公开实战笔记,敬请期待 —— ——
组合漏洞 2023将公开实战笔记,敬请期待 —— ——

目录 

点赞逻辑一:

第一步:找关键

第二步:猜测逻辑

第三步:结论

第四步:归类

点赞逻辑二:

第一步:找关键

第二步:猜测逻辑

第三步:结论

第四步:归纳

点赞逻辑三:

第一步:找关键

第二步:猜测逻辑

第三步:结论


点赞逻辑一:

第一步:找关键

先把关键函数最终推测出的结果放出来:

comment_id=为帖子id(且有指定位数)

status=推测为业务相关的

callback=__jp8推测为指定返回服务器的ip

(其余不影响业务的无用关键函数已被删除)

serviceToken=鉴别身份的

【web实战-业务逻辑】评论点赞逻辑

再次点赞,就为-1,即取消点赞

【web实战-业务逻辑】评论点赞逻辑

第二步:猜测逻辑

(此处的基本逻辑:可以点赞,也可以取消点赞,听说你想取消别人带赞?)

假设:comment_id=为用户id,尝试批量单一账号点赞

确实全部成功

【web实战-业务逻辑】评论点赞逻辑

回到点赞页面查看(就加一)

直接可以推断出comment_id=为帖子的id

点赞不同的帖子,抓到的id不同,验证了猜想

(找关键字时候发现ID不同就应该引起注意的)

##所有帖子点赞一遍?搞笑了一波,请见谅

【web实战-业务逻辑】评论点赞逻辑

第三步:结论

记录点赞次数的

是通过鉴别serviceToken=值

一个serviceToken=只能点赞一个,且其值也不好继续整下去了

整不了了,跑了

第四步:归类

(此系统中与此类似的逻辑)

踩一脚功能

这里不能针对一个一直踩,所以无危害了

一时不知道说什么,那就遍历id把所有帖子都踩一脚

【web实战-业务逻辑】评论点赞逻辑



点赞逻辑二:

第一步:找关键

先把关键函数最终推测出的结果放出来:

postId=为发帖人的id

commentId=为帖子id(且有指定位数,这里被加密了,难搞)

miui_vip_serviceToken=鉴别身份的

cUserId=鉴定用户的

【web实战-业务逻辑】评论点赞逻辑

第二步:猜测逻辑

(此处的基本逻辑:只能点赞一次,再点赞将被识别为重复点赞)

【web实战-业务逻辑】评论点赞逻辑

假设:修改id值,绕过检测?(难搞,看见直接放弃,cookie了里面有身份鉴别,还有id鉴别)

改postId=提示评论与id不匹配

所以为发帖人id

现在唯一可以利用的就是cookie里面的id,能否替换了

能知道别人的id,但是不知道加密方法,或破解加密算法

【web实战-业务逻辑】评论点赞逻辑

第三步:结论

记录点赞次数的

是通过cookie中的

miui_vip_serviceToken、cUserId

整不了了,再跑了

第四步:归纳

(此系统中与此类似的逻辑)

投票

【web实战-业务逻辑】评论点赞逻辑



点赞逻辑三:

第一步:找关键

测试了一下,没啥可以操作的关键参数

【web实战-业务逻辑】评论点赞逻辑

第二步:猜测逻辑

尝试对其进行重放

发现可以一直重放

【web实战-业务逻辑】评论点赞逻辑

 一段时间后出现提示操作频繁(但10s左右又可以继续重放)

(经测试一分钟可以刷赞70次)

【web实战-业务逻辑】评论点赞逻辑

【web实战-业务逻辑】评论点赞逻辑

第三步:结论

同一账号可以通过重放进行点赞

为鉴别点赞的用户身份,并进行限制



【web实战-业务逻辑】评论点赞逻辑

网络安全三年之约

First year 

掌握各种原理、不断打新的靶场

【web实战-业务逻辑】评论点赞逻辑目标:edusrc、cnvd 

主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/


second year 

不断学习、提升技术运用技巧,研究各种新平台

开始建立自己的渗透体系

【web实战-业务逻辑】评论点赞逻辑目标:众测平台、企业src应急响应中心 

众测平台 URL
漏洞盒子 漏洞盒子 | 互联网安全测试众测平台
火线安全平台 火线安全平台
漏洞银行 BUGBANK 官方网站 | 领先的网络安全漏洞发现品牌 | 开放安全的提出者与倡导者 | 创新的漏洞发现平台
360漏洞众包响应平台 360漏洞云漏洞众包响应平台
补天平台(奇安信) 补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC
春秋云测 首页
雷神众测(可信众测,安恒) 雷神众测 - BountyTeam
云众可信(启明星辰) 云众可信 - 互联网安全服务引领者
ALLSEC ALLSEC
360众测 360众测平台
看雪众测(物联网) https://ce.kanxue.com/
CNVD众测平台 网络安全众测平台
工控互联网安全测试平台 CNCERT工业互联网安全测试平台
慢雾(区块链) Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone
平安汇聚 http://isrc.pingan.com/homePage/index
互联网大厂 URL
阿里 https://asrc.alibaba.com/#/
腾讯 https://security.tencent.com/
百度 https://bsrc.baidu.com/v2/#/home
美团 https://security.meituan.com/#/home
360 https://security.360.cn/
网易 https://aq.163.com/
字节跳动 https://security.bytedance.com/
京东 https://security.jd.com/#/
新浪 http://sec.sina.com.cn/
微博 https://wsrc.weibo.com/
搜狗 http://sec.sogou.com/
金山办公 https://security.wps.cn/
有赞 https://src.youzan.com/

Third Year 

学习最新的知识,建全自己的渗透体系

【web实战-业务逻辑】评论点赞逻辑目标:参与护网(每一个男孩子心中的梦想) 

时间:一般5月面试,6/7月开始(持续2-3周)

分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)文章来源地址https://www.toymoban.com/news/detail-454536.html

到了这里,关于【web实战-业务逻辑】评论点赞逻辑的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 小红书点赞不显示怎么回事?小红书笔记评论被吞怎么办

    小红书作为一个互联网产品,是一个软件。既然是软件就会有一定的程序漏洞,这是无法避免的。但是很多时候其实并不一定是漏洞的问题。今天就来和大家谈谈小红书点赞不显示怎么回事,小红书评论被吞又是怎么一回事,这些难道都是程序性漏洞么?这篇文章就给大家讲清

    2024年02月05日
    浏览(86)
  • 抖音直播间弹幕解析:点赞,评论,送礼,进入提示等(2:解析protobuf代码)

    抖音直播间数据抓取打印效果演示 上一章中说了弹幕解析需要了解的知识点以及环境的搭建,本章中深入到代码中去,了解项目的架构和原理以及protobuf 解析实战代码。 现在说一下项目的思路吧: 1. 谷歌浏览器打开live直播间 2. mitmproxy 捕获live.douyin.com http请求并保存响应为指

    2024年02月21日
    浏览(51)
  • STM32+PWM+DMA驱动WS2812彩灯模块(评论点赞给源代码)

    WS2812是一颗数字LED灯珠,采用单总线通讯,每颗灯珠支持24bit的颜色控制,也即RGB888,信号线通过DIN输入,经过一颗灯珠之后,信号线上前24bit数据会被该灯珠锁存,之后将剩下的数据信号整形之后通过DOUT输出 C1为VDD的滤波电容,一般大小为100NF。 WS2812.c pwm.c DMA.c main.c 需要源

    2024年04月23日
    浏览(42)
  • 2023物联网新动向:WEB组态除了用于数据展示,也支持搭建业务逻辑,提供与蓝图连线和NodeRed规则链类似的可视化编程能力

    前言 组态编辑在工业控制、物联网场景中十分常见,越来越多的物联网平台也把组态作为一项标配功能。 物联网产业链自下往上由“端 - 边 - 管 - 云 -用”多个环节构成,组态通常是用于搭建数据展示类型的应用,而随着系统集成度越来越高,项目中对应用的业务逻辑的要求

    2024年02月10日
    浏览(41)
  • 从vue小白到高手,从一个内容管理网站开始实战开发第八天,登录功能后台功能设计--业务逻辑层基础接口和基础服务实现

    上一篇我们介绍了项目后续要使用到的工具类,关于工具类的创建可以查看 从vue小白到高手,从一个内容管理网站开始实战开发第七天,登录功能后台功能设计--通用分页、枚举以及相关工具类-CSDN博客 文章浏览阅读2次。本次内容主要介绍了项目后续用到的部分工具类,这些

    2024年01月22日
    浏览(41)
  • Web安全测试中常见逻辑漏洞解析(实战篇)

    越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,导致用户A可以操作其他人的信息

    2024年02月10日
    浏览(46)
  • 【Java Web】实现帖子点赞功能——基于Redis

    点赞 支持对帖子、评论点赞; 第一次点赞,第二次点赞取消; 首页显示点赞数量 统计帖子点赞数量; 详情页显示点赞数量 统计点赞数量; 显示点赞状态; 1. LikeService定义一些关于点赞的操作 点赞: 如果已经点过赞,就取消点赞; 如果没点过赞,就add到redis; 查询某个实

    2024年02月09日
    浏览(43)
  • 1.前言和介绍

    从零学习算法部署-TensorRT篇 杜老师推出的 tensorRT从零起步高性能部署 课程,之前有看过一遍,但是没有做笔记,很多东西也忘了。这次重新撸一遍,顺便记记笔记 本次主要是对课程的内容和所需环境做一个简要的介绍 课程大纲可看下面的思维导图 本课程以 TensorRT 和 PyTor

    2024年02月13日
    浏览(54)
  • WebGL前言——WebGL相关介绍

    第一讲内容主要介绍WebGL技术和相应的硬件基础部分,在初级课程和中级课程的基础上,将技术和硬件基础进行串联,能够对WebGL从产生到消亡有深刻全面的理解。同时还介绍WebGL大家在初级课程和中级课程中的一些常见错误以及错误调试的办法。 先热身一下吧,看个问题:如

    2023年04月08日
    浏览(44)
  • 【RabbitMQ教程】前言 —— 中间件介绍

                                                                       💧 【 R a b b i t M Q 教程】前言——中间件介绍 color{#FF1493}{【RabbitMQ教程】前言 —— 中间件介绍} 【 R abbi tMQ 教程】前言 —— 中间件介绍 💧           🌷 仰望天空,妳

    2024年02月08日
    浏览(69)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包