|
最近有一些小伙伴会来问我,关于任意淘旺旺打标的问题,就是一开始別人吹起来的那个魔搜。 具体功能就是仅提供旺旺名,宝贝ID,关键词.
在不需要任何扫码等刷手辅助情况下,甚至本人并不知情.对任意账号进行指定产品打标,
且打标后不论是搜索还是猜你喜欢,都会优先展现打标商品.;
申明:此篇文章仅用于技术交流,案例漏洞已失效.请勿把技术用于非法盈利.
听起来好像很神奇是吧,确实很神奇,这功能有点BUG.
买家数据量够大的话,就相当于免费直通车了,而且配合刷dan也非常便捷.
这边文章我们就来聊下这个漏洞的挖掘思路以及历史版本案例.
对于此漏洞的挖掘过程,挖掘思路一定要明确,不能乱.
首先第一点,我们需要针对谁?
我们需要针对淘宝这个打标置顶的系统,我们且叫它"千人千面"系统.,
系统的功能: 优化用户体验,智能展现用户界面的展示产品,而非无脑按排名展现..
功能实现的方法:通过用户的历史访问趋向,为用户优先展现此类产品.
就简单了解下,并不详解了,想详细了解它的朋友可以自行百度,因为这个类似机制早期在各大搜索引擎里就有了.
好,到这里算是知道我们该针对谁了,也简单了解了一点
那么第二点,我们如何完成指定宝贝为指定用户打标呢?
想实现这个功能,就需要利用淘宝的"千人千面"系统的实现方法了.这里暂定一个 "买家A" "宝贝A" 便于说明.
上面已经简要提过了,我们只需要让系统认为买家A对宝贝A已经进行过访问了.那么系统就会优先为买家A展现宝贝
这么一说是不是感觉突然简单了?知道该针对什么,知道该利用被针对的哪种功能.那么思路明确了,目标也就明确了
前两步主要是思路的开始,非常重要,不然就没有后面的事了.
那么第三步,那么我们就需要开始想,具体该如何利用?
脑海里思路千万不能乱,因为系统是淘宝的,我们并没有,所以我们需要自行脑补这千人千面系统的执行过程,
別的不管,他如何才能知道买家A访问过宝贝
这里我们用PC版淘宝做案例说明,因为移动端的都是APP,相对要稍难一点.
PC端就是浏览器,他所有数据都逃不开F12.
如果淘宝的系统想知道谁访问了什么,那么最基本的,一定会去接收两个参数.
1.买家账号信息
2.宝贝产品信息
买家账号信息一般为昵称,ID, 宝贝信息一般为ID. 思路到这里就简单了
那么用浏览器登录账号,访问一个宝贝,我们是不是只要监控他哪个链接同时提交的买家信息与宝贝信息.
那这个千人千面系统打标功能的接口是不是就是它了呢?
我们打开任意宝贝链接,浏览器按F12进入调试模式.刷新一次,在我们访问宝贝的过程中,一定会有这么个链接,向淘宝同时提交了宝贝信息与买家信息.然后仔细找.运气好说不定一下就找到了.) 
我们仅是访问一个宝贝连接,但实际这个宝贝链接进行了很多我们看不见的操作,
链接有点多,但是不要慌,慢慢来,因为目的很明确,只有同时存在宝贝信息与买家信息的链接,才是有效的.
我们看第一个链接,好像就是我们访问的宝贝链接.发现这第一个宝贝链接就存在我们需要的要求,
重点可以参数我已经标记,这链接同时在宝贝ID 买家ID 买家账号.
那么会不会就是它呢?我们是不是只要修改了这几个参数就可以为指定账号打标了呢?这么简单?
嗯,没错,就这么简单,这就是早期的魔搜漏洞(为任意旺旺号打指定宝贝标签).
犹豫这一块的漏洞对于用户的安全影响基本没有,而且淘宝也是在不断完善千人千面系统的过程中.
所以阿里对于这一块的安全处理就比较薄弱.造成了很多类似这样的漏洞,
到这里,一个比较完整的思路以及简单的案例实操就算结束了,
当然,这个案例是早期十分简单的一个案例,仅便于大家理解,现已失效.;
这个虽然失效了,但可能也还会存在其它的,具体思路就是这样,如果对网络安全这块感兴趣的话,
可以尝试自己按着这思路深度挖就一下,以提升自身能力.案例仅为简单的PC端http协议.
还有很多很多的未知再等待我们的探索,加油 |
