bilibili-api icon indicating copy to clipboard operation
bilibili-api copied to clipboard
verified publisher icon Nemo2011

[漏洞] 未登录情况下获取用户视频列表

Open niu541412 opened this issue 2 years ago • 3 comments

问题类似于 https://github.com/Nemo2011/bilibili-api/issues/691

https://github.com/Nemo2011/bilibili-api/blob/a0474871bbbc0cc1b85dcae6e8fa0c33035ef279/bilibili_api/user.py#L442 目前的版本的user.get_videos()当未传入credential类时,仍会触发-352风控。 但的确未登录情况下是可以获取用户视频列表的。

测试发现,未登录情况下,query的参数里必须要有 order_avoided 参数。如果登录了,那这个参数就不是必须的。 默认值是'true',但似乎改成任意字符串都可以。网上没找到这个参数用处的说明,可能就是和风控相关的。

举例子就是当未登录情况下,cookies有buvid3,headers有UA时,下面是个最小版的成功请求的链接 https://api.bilibili.com/x/space/wbi/arc/search?dm_cover_img_str=QU5HTEUgKEludGVsIEluYy4sIEludGVsIElyaXMgUHJvIE9wZW5HTCBFbmdpbmUsIE9wZW5HTCA0LjEpR29vZ2xlIEluYy4gKEludGVsIEluYy&dm_img_inter=%7B%22ds%22%3A%5B%5D%2C%22wh%22%3A%5B0%2C0%2C0%5D%2C%22of%22%3A%5B0%2C0%2C0%5D%7D&dm_img_list=%5B%5D&dm_img_str=V2ViR0wgMS4wIChPcGVuR0wgRVMgMi4wIENocm9taXVtKQ&mid=7773004&order_avoided=true&web_location=1550101&wts=1709535813&w_rid=3edc96577b50f4d7db2432e750a83058

niu541412 avatar Mar 04 '24 12:03 niu541412

将此合并的全部代码照搬即可使用https://github.com/Nemo2011/bilibili-api/pull/680

lb-chc avatar Mar 04 '24 16:03 lb-chc

将此合并的全部代码照搬即可使用https://github.com/Nemo2011/bilibili-api/pull/680

这个 https://github.com/Nemo2011/bilibili-api/pull/680 PR里没有加order_avoided这个参数,在未登录情况下会-352。

niu541412 avatar Mar 05 '24 06:03 niu541412

不清楚,我去BAC提下看看

z0z0r4 avatar Mar 05 '24 09:03 z0z0r4

pi.bilibili.com/x/space/wbi/arc/search

还真是,只要一直填写true就行

lb-chc avatar Apr 01 '24 10:04 lb-chc

已添加

z0z0r4 avatar Apr 05 '24 06:04 z0z0r4