文章总结： 本文分享了关于文章和视频浏览量的并发测试经验。作者通过抓包分析并利用intruder模块进行重放，成功刷取了网站的浏览量。测试发现，视频浏览量因浏览器缓存机制，在不同设备上显示结果不同。文章最后强调，在进行此类测试时，应重点关注其危害性，例如是否会影响用户正常体验或破坏排名公正性，并建议使用自己的账号进行测试。 综合评分： 65 文章分类： SRC活动,渗透测试,实战经验

不要测无意义的并发漏洞

原创

游山玩水 游山玩水

山水SRC

2026年3月21日 11:56 河南

概述

本文讲解了测试几个并发漏洞（文章浏览量、视频浏览量），被审核打回

具体测试的流程照片就不放了（不让放）

文章浏览量

这个文章浏览量刷取的发现

1.在测试前记录一个网站功能点，发现存在文章浏览量显示

2.之后刷新页面会导致浏览量增加（这就很可能能刷了）

3.抓包，分析数据包，主要是寻找哪个数据包中存在文章id的这种（很可能这个数据包的重放会导致次数的增加）

4.放到intruder模块爆破

5.刷新页面浏览量增加

视频浏览量

这个视频浏览量我感觉比我上面的文章浏览量刷取的实际危害性大一点点

因为这个测试网站有一个板块会排除前几位的公司（类似于精品榜，刷这个公司的视频浏览量就会让公司上榜）而这个平台存在购买公司物品的功能，因此有概率会影响用户选择（实际没啥卵用）

测试流程和上面差不对

不同点

这个网站你去刷新一个公司的视频，这个视频浏览量是不变的

例子

1.视频A页面刷新5次，视频A页面的浏览量不变（可能是缓存之类的原因）

2.进入视频B页面发现次数加了5次

3.在这个浏览器因为缓存的原因公司视频总浏览量如何也不变，但是换个浏览器或者开启无痕模式发现变了（Chrome浏览器无痕模式ctrl+shift+n）

总结

并发的这种漏洞还是有必要测的

那么测试的重点要考虑危害性

比如

1.给对方文章刷点赞导致对方封号（一定要使用自己的账号，不要影响正常用户操作）

2.刷的排名会有实际奖励（真实物品和虚拟物品都行）

3.刷点赞会影响对方用户正常体验（看谁给你点赞了这种）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《不要测无意义的并发漏洞》