不知道这个是不是漏洞，京东众筹页面

2014-10-10 18:57:47 +08:00

Biwood

今天看京东众筹详情页面的代码，发现点赞的按钮有点简洁，于是用Chrome的控制台测试了一下，发现可以无限刷赞耶。
代码如下：

var btn = document.getElementById('a_prais');
var timer = setInterval(function(){
document.cookie = document.cookie.replace('true', 'false');
btn.click();
}, 200);

直接在控制台里面运行就可以，不知道算不算漏洞

3377 次点击

所在节点

程序员

6 条回复

zwzmzd

2014-10-10 19:13:13 +08:00

算吧，不过很多网站偷懒都这么干。如果影响很小大家也不关注。

Biwood

2014-10-10 19:20:43 +08:00

对了，要先在Resource栏把所有cookie都清除再执行才有效，因为京东的点赞的判断是放在cookie里面的，我就是利用这点来写的JS，相信大家一看就懂

spacewander

2014-10-10 20:18:05 +08:00

怀着一颗恶作剧的心特意试了下……发现后台居然也不做检查！这下真心是“想有多少个赞就有多少个赞”了。

hillw4h

2014-10-10 21:38:42 +08:00

可以提交去JSRC呀，或者乌云。成就感满满的~~

exceloo

2014-10-10 22:34:34 +08:00

点赞了有啥用？

tabris17

2014-10-11 10:05:54 +08:00

算不上漏洞，如果人家功能需求就是这样的话，连BUG都算不上

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/138109

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.