找回密码
 立即注册
搜索
热搜: 淘宝 补单 抖音
查看: 294|回复: 14

关于淘宝旺旺任意账号打标(魔搜)的挖掘分析,以及早期版本此漏洞说明

[复制链接]

9

主题

49

回帖

86

积分

注册会员

积分
86
发表于 2024-2-12 07:51:37 | 显示全部楼层 |阅读模式
很久没发帖了,因为确实没什么技术聊
不过**近经常有小伙伴问我关于任意淘旺旺打标的问题,**是开始別人吹起来的那个魔搜.
具体功能**是仅提供旺旺名,宝贝ID,关键词.
在不需要任何扫码等**手辅助情况下,甚至本人并不知情.对任意账号进行指定产品打标,
且打标后不论是搜索还是猜你喜欢,都会优先展现打标商品.

申明:此篇文章仅用于技术交流,案例漏洞已失效.请勿把技术用于非法盈利.

听起来好像很神奇是吧,确实很神奇,这功能有点BUG.
买家数据量够大的话,**相当于免费直通车了,而且配合**dan也非常便捷.

这边文章我们**来聊下这个漏洞的挖掘思路以及历史版本案例.

对于此漏洞的挖掘过程,挖掘思路一定要明确,不能乱.

首先**点,我们需要针对谁?
我们需要针对淘宝这个打标置顶的系统,我们且叫它"千人千面"系统.
系统的功能: 优化用户体验,智能展现用户界面的展示产品,而非无脑按排名展现.
功能实现的方法:通过用户的历史访问趋向,为用户优先展现此类产品.

**简单了解下,并不详解了,想详细了解它的朋友可以自行百度,因为这个类似机制早期在各大搜索引擎里**有了.
好,到这里算是知道我们该针对谁了,也简单了解了一点.

那么第二点,我们如何完成指定宝贝为指定用户打标呢?
想实现这个功能,**需要利用淘宝的"千人千面"系统的实现方法了.这里暂定一个 "买家A" "宝贝A"  便于说明.
上面已经简要提过了,我们只需要让系统认为买家A对宝贝A已经进行过访问了.那么系统**会优先为买家A展现宝贝A.

这么一说是不是感觉突然简单了?知道该针对什么,知道该利用被针对的哪种功能.那么思路明确了,目标也**明确了.

前两步主要是思路的开始,非常重要,不然**没有后面的事了.

那么第三步,那么我们**需要开始想,具体该如何利用?
脑海里思路千万不能乱,因为系统是淘宝的,我们并没有,所以我们需要自行脑补这千人千面系统的执行过程,
別的不管,他如何才能知道买家A访问过宝贝A?
这里我们用PC版淘宝做案例说明,因为移动端的都是APP,相对要稍难一点.
PC端**是浏览器,他所有数据都逃不开F12.
如果淘宝的系统想知道谁访问了什么,那么**基本的,一定会去接收两个参数.
1.买家账号信息
2.宝贝产品信息

买家账号信息一般为昵称,ID, 宝贝信息一般为ID.  思路到这里**简单了
那么用浏览器登录账号,访问一个宝贝,我们是不是只要监控他哪个链接同时提交的买家信息与宝贝信息.
那这个千人千面系统打标功能的接口是不是**是它了呢?

我们打开任意宝贝链接,浏览器按F12进入调试模式.**新一次,在我们访问宝贝的过程中,一定会有这么个链接,向淘宝同时提交了宝贝信息与买家信息.然后仔细找.运气好说不定一下**找到了.



我们仅是访问一个宝贝连接,但实际这个宝贝链接进行了很多我们看不见的操作,
链接有点多,但是不要慌,慢慢来,因为目的很明确,只有同时存在宝贝信息与买家信息的链接,才是有效的.
我们看**个链接,好像**是我们访问的宝贝链接.发现这**个宝贝链接**存在我们需要的要求,
重点可以参数我已经标记,这链接同时在宝贝ID 买家ID 买家账号.
那么会不会**是它呢?我们是不是只要修改了这几个参数**可以为指定账号打标了呢?这么简单?

嗯,没错,**这么简单,这**是早期的魔搜漏洞(为任意旺旺号打指定宝贝标签).
犹豫这一块的漏洞对于用户的安全影响基本没有,而且淘宝也是在不断完善千人千面系统的过程中.
所以阿里对于这一块的安全处理**比较薄弱.造成了很多类似这样的漏洞,

到这里,一个比较完整的思路以及简单的案例实操**算结束了,
当然,这个案例是早期十分简单的一个案例,仅便于大家理解,现已失效.

这个虽然失效了,但可能也还会存在其它的,具体思路**是这样,如果对网络安全这块感兴趣的话,
可以尝试自己按着这思路深度挖**一下,以提升自身能力.案例仅为简单的PC端http协议.
还有很多很多的未知再等待我们的探索,加油

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

12

主题

46

回帖

92

积分

注册会员

积分
92
发表于 2024-2-12 07:52:09 | 显示全部楼层
楼主牛人啊,可惜这漏洞早**补上了,,font.j\*\*mer{color:#FFF;}

8

主题

34

回帖

68

积分

注册会员

积分
68
发表于 2024-2-12 07:52:24 | 显示全部楼层
只是这处补了,别处依旧还有.
按照这个思路,只要技术能力够强,依旧可以挖到新的.
网上不很多卖这个工具的嘛,**说明在别处依旧还存在.
主要这帖子是与大家分享下挖掘思路.
为同样的技术人才做一下入门引导font.j\*\*mer{color:#FFF;}

8

主题

33

回帖

67

积分

注册会员

积分
67
发表于 2024-2-12 07:52:48 | 显示全部楼层
嗯,**支持你font.j\*\*mer{color:#FFF;}

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

11

主题

47

回帖

92

积分

注册会员

积分
92
发表于 2024-2-12 07:52:53 | 显示全部楼层
楼主有找出其他的方法吗font.j\*\*mer{color:#FFF;}

8

主题

39

回帖

69

积分

注册会员

积分
69
发表于 2024-2-12 07:53:10 | 显示全部楼层
zheng** 发表于 2019-11-25 22:42
楼主有找出其他的方法吗
有啊 不过也不会放出来 毕竟是我自己的劳动成果  只能提供思路与大家交流font.j\*\*mer{color:#FFF;}

310

主题

1396

回帖

2471

积分

管理员

积分
2471
发表于 2024-2-12 07:53:29 | 显示全部楼层
这看样子还是要会编程的人啊font.j\*\*mer{color:#FFF;}

9

主题

46

回帖

74

积分

注册会员

积分
74
发表于 2024-2-12 07:54:28 | 显示全部楼层
大概思路有了 不过没有这方面的技术 只能看看了font.j\*\*mer{color:#FFF;}

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

12

主题

44

回帖

79

积分

注册会员

积分
79
发表于 2024-2-12 07:55:15 | 显示全部楼层
小白一个学习了!!font.j\*\*mer{color:#FFF;}

7

主题

35

回帖

50

积分

注册会员

积分
50
发表于 2024-2-12 07:55:58 | 显示全部楼层
不会编程,知道思路也没用啊
font.j\*\*mer{color:#FFF;}
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋| 电商在线-淘江湖淘宝卖家论坛 ( 湘ICP备2021012076号|湘ICP备2021012076号 )

GMT+8, 2024-11-16 04:37 Powered by Discuz! X3.5

快速回复 返回顶部 返回列表