文章总结： 本文探讨文章点赞业务逻辑漏洞，演示了某博客系统因依赖XFF头部校验导致的刷赞问题。攻击者通过伪造XFF可绕过重复限制。文章分析了漏洞代码逻辑，指出认证缺失的缺陷，并提出了强制登录态、用户ID唯一约束及频控等防御建议。 综合评分： 88 文章分类： 漏洞分析,WEB安全,渗透测试

文章点赞漏洞

原创

破阵攻防实验室 破阵攻防实验室

破阵攻防实验室

2026年1月29日 09:40 河南

免责声明

    由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人承担，破阵攻防实验室及文章作者不承担任何责任。如有侵权烦请告知，我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。

0x01 漏洞简介

      文章点赞漏洞是指由于身份校验、业务逻辑或接口设计不当，攻击者可以非正常地增加或操纵文章点赞数，从而影响业务指标、舆论导向或排行榜结果。

      文章点赞漏洞本质上属于业务逻辑漏洞。

常见漏洞成因分类：

1. 未授权点赞（身份校验缺失）

未登录用户可直接调用点赞接口仅前端限制，后端未校验登录态

2. 重复点赞漏洞（幂等性缺失）

同一用户可对同一文章多次点赞未做唯一性约束

3. 点赞/取消点赞逻辑漏洞（状态机错误）

点赞直接+1取消点赞直接-1不校验当前状态

4. 参数篡改/水平越权

接口从请求参数中读取 user_id 类信息

5. 高频请求刷赞（缺乏频控）

无 Rate Limit无 IP/用户频率限制

6. 并发竞争漏洞

校验和写入分离并发请求绕过校验

0x02 漏洞复现

在某博客系统中存在点赞功能

点击“点赞”，HTTP请求包中带有XFF信息

响应包返回“点赞成功”

当再次提交这个请求包时会响应已赞过，说明后端存在重复点赞校验

修改XFF字段的值为：127.0.0.3，尝试Bypass

响应结果“点赞成功”，说明后端是通过XFF字段进行校验的！

利用这个漏洞进行刷赞操作

刷新前台页面，点赞数更新了，说明刷赞成功！

0x03 漏洞分析

漏洞相关代码在/blog/api/love处

调用getIpAddr方法通过XFF等字段获取IP

调用checkLove方法通过查询保存在数据库中的XFF记录进行校验。如果已存在XFF记录，则响应“您已赞过了哦~”；如果不存在XFF记录，则执行正常的点赞处理逻辑。

数据库查询

由于防护策略存在缺陷，这里只需要修改XFF字段的值即可实现刷赞！

0x03 防御策略

针对点赞漏洞，可采取以下防御措施：

1. 服务端强制身份认证，仅允许合法登录用户操作；

2. 基于用户唯一标识与业务对象建立点赞唯一约束，防止重复点赞；

3. 用户身份从登录态获取，避免参数篡改导致水平越权；

4. 引入接口频率限制，防止自动化刷赞；

5. 基于点赞状态机进行合法性校验，避免逻辑刷赞；

如果想要及时了解更多内容，请关注 破阵攻防实验室 微信公众号！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：破阵攻防实验室 破阵攻防实验室 破阵攻防实验室《文章点赞漏洞》