V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Biwood
V2EX  ›  程序员

不知道这个是不是漏洞,京东众筹页面

  •  
  •   Biwood ·
    oodzchen · 2014-10-10 18:57:47 +08:00 · 3432 次点击
    这是一个创建于 3704 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天看京东众筹详情页面的代码,发现点赞的按钮有点简洁,于是用Chrome的控制台测试了一下,发现可以无限刷赞耶。
    代码如下:

    var btn = document.getElementById('a_prais');
    var timer = setInterval(function(){
    document.cookie = document.cookie.replace('true', 'false');
    btn.click();
    }, 200);

    直接在控制台里面运行就可以,不知道算不算漏洞
    6 条回复    2014-10-11 10:05:54 +08:00
    zwzmzd
        1
    zwzmzd  
       2014-10-10 19:13:13 +08:00
    算吧,不过很多网站偷懒都这么干。如果影响很小大家也不关注。
    Biwood
        2
    Biwood  
    OP
       2014-10-10 19:20:43 +08:00
    对了,要先在Resource栏把所有cookie都清除再执行才有效,因为京东的点赞的判断是放在cookie里面的,我就是利用这点来写的JS,相信大家一看就懂
    spacewander
        3
    spacewander  
       2014-10-10 20:18:05 +08:00
    怀着一颗恶作剧的心特意试了下……发现后台居然也不做检查!这下真心是“想有多少个赞就有多少个赞”了。
    hillw4h
        4
    hillw4h  
       2014-10-10 21:38:42 +08:00
    可以提交去JSRC呀,或者乌云。成就感满满的~~
    exceloo
        5
    exceloo  
       2014-10-10 22:34:34 +08:00 via iPhone
    点赞了有啥用?
    tabris17
        6
    tabris17  
       2014-10-11 10:05:54 +08:00
    算不上漏洞,如果人家功能需求就是这样的话,连BUG都算不上
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2470 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:18 · PVG 10:18 · LAX 18:18 · JFK 21:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.