文章总结： 本文详细介绍了点赞功能的四种绕过方法：参数置空、用户身份标识修改、并发攻击和时间/频率参数干扰，分析了刷点赞对平台和商家的危害，包括作者封号、内容排名异常、点赞负数和电商好评刷赞等问题，提醒安全测试需合法授权 综合评分： 85 文章分类： 渗透测试,漏洞分析,WEB安全

点赞漏洞

原创

游山玩水 游山玩水

山水SRC

2026年3月25日 09:08 河南

免责声明

本公众号分享的所有渗透测试技术文章仅面向合法授权的安全测试、学习交流与研究用途。读者必须确保自身行为符合《网络安全法》等相关法律法规，严禁将其用于任何未授权攻击等非法活动。因不当使用或传播相关内容所引发的任何法律责任与风险，由行为人自行承担，本公众号（或本人）概不负责

绕过点赞流程

点赞限制的绕过

①参数置空

请求包中包含一个用于判断当前状态的参数

在已点赞后，拦截新的点赞请求，将该状态参数置空、删除或修改为0/false

②用户身份标识修改

点赞请求中，用户身份标识来识别身份（如``user_id``）可被前端修改

危害大很多

③并发

拦截请求，使用bp插件turbo-intruder-all

使用：登录框短信轰炸checklist

④时间/频率参数干扰

请求中存在用于防止刷赞的时间戳（timestamp）、序列号（nonce）或间隔参数（interval）

置空、删除或修改这些参数使其失效

危害

1.刷点赞使文章作者封号

2.刷的内容会排名且有奖励

3.刷取消点赞，让点赞为负数

4.电商店铺刷商品好评点赞

收不收这个漏洞看是否会影响他人和造成经济损失

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《点赞漏洞》