とあるサイトのランキングを占領してみた話

みなさんはなんらかのランキングを占領したことありますか？実力だろうと一般的には不正と言われるような手段で取ったよって話でも全然聞きたいので、是非TwitterだのSignalでお話聞きたいもんですが。話してもいいよって方はTwitter@Sp1ege2 に連絡くださいね。

やった理由

ページのソースや、クリックでpostする箇所があったので、クリック後に通信内容を見て、テスト用のPythonコードで投票ページに連投した結果、本来その投票システムには一定期間に10回までしか投票できないというcookieによる規制があったのを、cookieを持っていなくてもそれを無視して、無制限にpostさえ投げてれば数値増加をさせられると気付いたので。(おそらく、手動のcookie削除なんかでも同じことが起こせます。)
要は、ガバガバすぎて面白そうなことに気づいたからですね（笑）
あとは、普通にSPY×FAMILYとゆるゆりが好きだったから…かな？

問題点

本来、こういうのはcookieじゃなくてサーバー側で規制するべきですし、そもそも通信を複雑化していけば私のようなスクリプトキディには解析できんでしょう。仮にそれが私より技量のある方にうまい具合に突破されてしまったとしても、一定時間内に、普段合計した時の平均と並外れたような異常なアクセス回数を検知したら、一旦全通信を止めるだのの設定や、そもそもサーバーをCloudflareなりで防御するだの、普通はやってるはずです。

でも、本当に何もしてなかったんですよ！！驚くことに！！
postで投げてるのも、たった数個の軽いしょーもないデータを送ってるだけで、1回の通信でそのまま1カウントなので、投げるだけのこっち側としては死ぬほど楽でした。

やった事

画像を貼った方が早いと思うのでスクショで見せます。

Los!Los!Los!の歌詞へのリンクもスクリプトの内容に入れちゃってたみたいでついでに上げちゃいました。まあこれも好きな曲だしいいか(適当)

50万pt程度だったポイントが…(ちなみにこの時点で45万は私が入れてます)

なんと驚異の1500万pt超えで、どうせ人気コンテンツの人気になりそうな良い曲だしいいだろって判断かどうか知りませんが、不正投票分の1517万ptは除外されていませんｗ

結果と、面白かった点

3連休はしっかり休みを取っていたのか、全く対応されませんでした。
そこで対応しない事に呆れつつ、ポイント数では飽きたらず、PV数も人為的に増やしてトップをデカデカと占領してやったら流石に気付くだろうと思い、1000IP分ぐらいあるProxyリストからランダムなIPを選択しgetを送ってくれるプログラムと、ひたすらgetを送信するプログラムを両方動作させてみて、(PV数のカウント基準が不明だったため、純粋なPV数なのか実はUU数で算出しているのかをわざわざ探りたくもなかったので、どちらもマルチスレッドで実行できるように記述し、昼夜問わずひたすら動かしてた)その結果見事日間、週間、月間の全てで1位を獲得しちゃいました。
で、現在は除外されているのですが、あんまりにも対応がザラすぎて、更に笑いを誘われたので紹介します。

はい。ランキングからは確かに除外されましたが、「人気」の表示もそのまま(この表示はどうやらランク上位に躍り出ると自動で付与されるようです)
人気順の表示なんかではトップのままです。

そして、先程載せた画像に「気持ちを揺さぶる歌」ランキングがあったのですが、なんと、なんとなんとランキングごと消滅させるという荒業で対応しやがりました。

そして、待ち遠しい歌詞ランキングなんかは、先程述べた通り何の対応もされませんでした。
1回につき表示上は10pt加算される仕組みなので、最低でも約150万アクセスしたはずなんですけどね…

ちなみに、投げているデータにも変わりはないらしく、既存のプログラムなんかで全然動いちゃうので、配布しておきますｗ(あ、悪用して何が起きても責任はとれませんよ)
それぞれのスレッドに別のデータを投げさせたかったという諸事情と、技量不足で無駄に長いコードになっちゃってるので、気に入らない方はdefでまとまるように書き直しといて貰えると助かります()
歌詞ごとにdataの部分に入れる数字が変わるので、使用時は各自で通信内容読んで弄ってください。

ヒント

うたてん 連続投票 マルチスレッド.py - AnonFiles

うたてん 連続投票 マルチスレッド.py - AnonFiles

うたてん 連続投票 マルチスレッド.py

3.17 KB

ファイルダウンロードについて

ダウンロード

そして一番最後に言いたかった面白い点は、ランダムに使用されたProxyが、1つもブロックされたり403を貰ったりすることなく元気にstatus_codeの200番を貰って返ってくることです。
普通なら怪しいIPは全部遮断すべきところなのですが、まさか全く対応されないとは…DDoSかけられたら一発で落ちますよ…？

適当に回したけど全部200…ｗｗ

同じく私の使用しているVPNのIPも1つもブロックされていないので、多分やろうと思えばまた1位に押し上げることができるんでしょうが、いたちごっこになりそうだし、遊びの範疇でやってただけなので、これ以上やってガチで怒られたりするのも嫌ですし、十分遊ばせてもらって迷惑もかけちゃったと思うのでこれ以上はやらないでおきます。

さいごに

Utatenさん、普段使いしてるのに迷惑なことやってしまって申し訳ございませんでした。
ですが、こんなザラな対応では私のような愉快犯がまた現れると思うので、根本的な対策を早急にした方が良いと思います。
もうしません。

そして記事をここまで読んでくださった皆様、こんな駄文を読んで頂きありがとうございました。良ければ記事作成日の2日後が誕生日なので、おめでとう代わりにスキでも押してってください。

…あ、スクリプトで連投はしないでくださいね、記事消されちゃ困るんでw