不知道这个是不是漏洞,京东众筹页面

2014-10-10 18:57:47 +08:00
 Biwood
今天看京东众筹详情页面的代码,发现点赞的按钮有点简洁,于是用Chrome的控制台测试了一下,发现可以无限刷赞耶。
代码如下:

var btn = document.getElementById('a_prais');
var timer = setInterval(function(){
document.cookie = document.cookie.replace('true', 'false');
btn.click();
}, 200);

直接在控制台里面运行就可以,不知道算不算漏洞
3428 次点击
所在节点    程序员
6 条回复
zwzmzd
2014-10-10 19:13:13 +08:00
算吧,不过很多网站偷懒都这么干。如果影响很小大家也不关注。
Biwood
2014-10-10 19:20:43 +08:00
对了,要先在Resource栏把所有cookie都清除再执行才有效,因为京东的点赞的判断是放在cookie里面的,我就是利用这点来写的JS,相信大家一看就懂
spacewander
2014-10-10 20:18:05 +08:00
怀着一颗恶作剧的心特意试了下……发现后台居然也不做检查!这下真心是“想有多少个赞就有多少个赞”了。
hillw4h
2014-10-10 21:38:42 +08:00
可以提交去JSRC呀,或者乌云。成就感满满的~~
exceloo
2014-10-10 22:34:34 +08:00
点赞了有啥用?
tabris17
2014-10-11 10:05:54 +08:00
算不上漏洞,如果人家功能需求就是这样的话,连BUG都算不上

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/138109

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX