免责声明

本公众号“猎洞时刻”旨在分享网络安全领域的相关知识，仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识，并仅代表作者个人的观点和意见。这些观点和意见仅供参考，不构成任何形式的承诺或保证。本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技术所造成的任何损失或伤害负责。本公众号提供的技术和工具仅限于学习和研究之用，不得用于非法活动。任何非法活动均与本公众号的立场和政策相违背，并将依法承担法律责任。本公众号不对使用本公众号提供的工具和技术所造成的任何直接或间接损失负责。使用者必须自行承担使用风险，同时对自己的行为负全部责任。本公众号保留随时修改或补充免责声明的权利，而不需事先通知

在日常生活中，我们会碰见很多让我们评分的地方，如果恶意刷分，就会对作品造成很差的影响，而评分处，除了可以测试一些xss，越权之类的漏洞。其实还有一种是批量刷分，利用重放数据包或者并发进行刷分。

可以看到下面有好几个参数，其中appraiseScore和descript是可控的。我们可以对该数据包进行并发操作。

但是又有人会问，并发，数据包都一样，发送内容都一样，一看不就是假的吗，其实不然，并发也能动态修改内容。写一个1.txt文件，然后每行写上自己需要设置的内容即可，然后在数据包中将需要替换的地方设置成%s

这里的1，就是给1分，5就是给5分评价。

然后选并发脚本basic.py或者default.py即可。

来查看结果，评论都是我想设置几分，那么就是几分。

公众号后台回复【240307】即可获得一份可过waf的xss标签文档