懂得：微博为什么会异常点赞，又该如何防范

ainio · 发表于 2021-8-10 01:10:47

马上注册玉林红豆网会员，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？立即注册

x

本文主要阐述两个问题:

登录/注册后可看大图

　　我的微博为什么会异常点赞?

　　又应该如何防范?

　　我的微博为什么会异常点赞?

　　也许在大部分人的认知理解里，异常点赞就是有犯罪分子登陆上你的微博,找到对需要点赞的微博进行点赞。[b][url=http:///www.tyutv.com/]刷赞平台[/url][/b]的其他相关内容，可以到网站了解，作为业内的标杆企业和网站，我们会安排专业人士为您解答，让您更了解！

　　但大部分事实并非如此。

　　如果模拟正常的用户登陆（这还是需要知道账号密码且账号没有开启二次验证的情况下），所需要的时间和成本远不止拿你账号点赞的成本。[1]

　　所以抛开通过账号密码登陆的可能性，大部分人第二个疑问：

　　是渣浪自己搞鬼吗？

　　先说一下我的看法：不太可能（如果有内鬼除外）。

　　很多人会认为微博自己内部有一套策略，收黑心钱，强行给用户点赞加关注。

　　其实作为企业运营者，如果暗地里收黑心钱，那么一旦有证据被发现，那么企业就开始灭亡。企业运营者不可能会为了捡芝麻而丢西瓜。

　　既然排除被别人登陆账号、渣浪自己搞鬼的情况下。究竟是哪个环节出问题？

　　2018年一篇文章或许能揭开一部分谜底

　　2018年8月20日《南方都市报》报道

　　里面提及到“cookie劫持”概念

　　cookie劫持通俗来讲：

　　你要进入微博大门，你就要通过钥匙（账号密码等验证），当你的钥匙拧开了微博这扇大门，微博会给你一张临时通行证（cookie）。这张临时通行证在避免你下次还需要拧钥匙（账号密码登陆）。

　　而这个临时通行证，整个网络流通环节，运营商、局域网……都有可能成为切取的一部分。

　　那么不法分子它偷偷自己复制了一份你临时通行证，那么就无需知道你的账号密码都可以利用你的账号进行操作。

　　回到刚刚那个新闻，运营商合作的黑产公司则正是利用了cookie劫持，偷偷在运营商服务器布置恶意采集程序。

　　换一句话说，除了窃取到通行证，网络上所有的操作请求。均被窃取。

　　以下视频模拟自己窃取自己的cookie，再向服务器发送请求

　　（开始点赞微博列表为空，当我自己偷盗自己的cookie时，模拟向服务器发送请求，则出现了一条点赞微博）。仅示范：

　　被点赞的另外一个大原因则是渣浪微博存在未被微博发现的CSRF/XSS漏洞

　　XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

　　CSRF漏洞的定义则是利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成的操作。

　　转换成为非计算机专业的话来说就是

　　XSS就像你访问了一个微博链接，但是这个微博链接存在恶意脚本，当用户点击了这个链接的时候，因为点击时候是登陆状态的，所以从中窃取到了cookie。

　　CSRF就像网页上你已经登陆了微博，你去访问另外一个不是微博的网站，这个网站有一个按钮。假设这个按钮名字写着“下一页”或者“加载更多”之类（这里只是举例子，实际上大部分都不是这样），你点击了这个按钮，这个按钮就会以你的名义和微博说我要点赞这条微博。

　　这种可能性大吗

　　非！常！大！

　　在搜索引擎 “微博+csrf”/“微博+xss"组合中，可以发现大量白帽子反馈csrf漏洞。

　　微博+xss漏洞搜索结果微博+CSRF 搜索结果

　　其实在1个月前的6月26日，微博发了一条公告

　　微博管理员 2020年6月26日微博

　　而这个策略则是“点赞需要滑动验证”，

　　滑动验证能够有效防止XSS/CSRF，但是并不是所有用户点赞都需要滑动验证，大概率是考虑到了影响用户体验，只对一些他们检测到可能出现异常的账号进行点赞滑动验证。

　　又该如何防范？

　　题外话：什么是DNS劫持、HTTP劫持

　　DNS劫持是你打车和司机说想去肯德基的时候，结果他把你运到了麦当劳，并且和你说这个就是肯德基。（你想访问百度，会给你跳转到搜狗）

　　HTTP劫持是你去医院的时候，有人半途上车给你塞小广告（比如本来网站没有广告的，你电脑访问右下角会出现渣渣辉砍来砍去）

　　1.对于网络半路被窃取的情况（cookie劫持等），普通人真的没办法解决，因为这个锅既不在用户，又不在渣浪，只能靠运营商自我排查了。

　　而怀疑是这种情况，给出的建议定期修改密码，而改密码的目的则是上文提到的让不法分子掌握“临时通行证”（cookie）失效。这种方法虽然治标不治本，但是能够缓解一段时间。

　　2.对于可能存在未被微博发现的XSS/CSRF漏洞相对好的解决办法是修改密码后，只通过最新官方版微博（微博客户端、国际版微博）登陆，减少网页版微博登陆，减少未知风险。